آسیب‌پذیری روز صفر در WinRAR

توسعه‌دهندگان ابزار محبوب بایگانی فایل WinRAR، یک به‌روزرسانی امنیتی فوری برای وصله کردن یک آسیب‌پذیری روز صفر که به‌طور فعال در سطح اینترنت مورد سوءاستفاده قرار می‌گرفت، منتشر کرده‌اند. این نقص که با شناسه CVE-2025-8088 و امتیاز CVSS 8.8 ردیابی می‌شود، یک اشکال پیمایش مسیر در نسخه ویندوز WinRAR است که به مهاجمان اجازه می‌دهد کد دلخواه را از طریق فایل‌های بایگانی دستکاری‌شده خاص اجرا کنند.

این وصله در WinRAR نسخه ۷.۱۳ که در ۳۱ ژوئیه ۲۰۲۵ منتشر شد، ارائه شد. این آسیب‌پذیری نه تنها WinRAR، بلکه RAR، UnRAR، UnRAR.dll و کد منبع UnRAR قابل حمل برای ویندوز را نیز تحت تأثیر قرار می‌دهد.

نحوه‌ی عملکرد این اکسپلویت

این نقص به این دلیل رخ می‌دهد که نسخه‌های قبلی WinRAR می‌توانستند فریب داده شوند و فایل‌ها را با استفاده از یک مسیر مخرب مشخص شده در داخل آرشیو به جای مسیر استخراج مورد نظر، استخراج کنند. این رفتار می‌تواند برای قرار دادن فایل‌ها در دایرکتوری‌های حساس سیستم، مانند پوشه راه‌اندازی ویندوز، مورد سوءاستفاده قرار گیرد و منجر به اجرای خودکار کد در ورود بعدی به سیستم شود.

آسیب‌پذیری مرتبط CVE-2025-6218 که در ژوئن 2025 وصله شد، حملات پیمایش دایرکتوری را نیز فعال می‌کرد. مهاجمان می‌توانند از هر دو نقص با هم برای دستکاری مسیرهای فایل در حین استخراج، نوشتن فایل‌ها در خارج از پوشه‌های تعیین‌شده و اجرای کد مخرب هنگام نمایش یک سند جعلی برای پرت کردن حواس قربانی استفاده کنند.

فعالیت عامل تهدید و لینک‌های وب تاریک

محققان امنیت سایبری، سوءاستفاده اخیر از آسیب‌پذیری CVE-2025-8088 را به گروه هکری Paper Werewolf (معروف به GOFFEE) مرتبط دانسته‌اند. این گروه ممکن است این نقص را با CVE-2025-6218 برای راه‌اندازی حملات هدفمند ترکیب کرده باشد.

تحقیقات نشان داد که در ۷ ژوئیه ۲۰۲۵، یک مجرم سایبری معروف به «zeroplayer» یک آسیب‌پذیری روز صفر WinRAR را در انجمن روسی زبان Exploit.in با قیمت ۸۰،۰۰۰ دلار تبلیغ کرد. گمان می‌رود که Paper Werewolf این آسیب‌پذیری را به دست آورده و از آن در حملات دنیای واقعی استفاده کرده است.

جزئیات کمپین حمله

در ژوئیه ۲۰۲۵، سازمان‌های روسی از طریق ایمیل‌های فیشینگ حاوی آرشیوهای مخرب هدف قرار گرفتند. هنگامی که قربانیان این فایل‌ها را باز می‌کردند، زنجیره سوءاستفاده از هر دو آسیب‌پذیری برای موارد زیر استفاده می‌کرد:

• نوشتن فایل‌ها در دایرکتوری‌های خارج از مسیر استخراج مورد نظر.
• اجرای کد مخرب بدون آگاهی قربانی.

یک نکته فنی قابل توجه این است که مهاجمان آرشیوهای RAR را با جریان‌های داده جایگزین ایجاد کردند که نام آنها حاوی مسیرهای نسبی بود. این جریان‌ها حاوی بارهای داده دلخواه بودند و هنگامی که مستقیماً از آرشیو استخراج یا باز می‌شدند، در هر دایرکتوری انتخابی روی دیسک نوشته می‌شدند.

قابلیت‌های بار مفید

یکی از پیلودهای مخرب شناسایی‌شده، یک لودر مبتنی بر .NET است که:

• اطلاعات سیستم، مانند نام رایانه قربانی را جمع‌آوری می‌کند.
• داده‌ها را به یک سرور راه دور ارسال می‌کند.
• بدافزارهای اضافی، از جمله یک اسمبلی رمزگذاری‌شده‌ی .NET را دانلود می‌کند.

طبق گزارش‌ها، گروه Paper Werewolf از این لودر به همراه یک پوسته معکوس روی سوکت‌ها استفاده می‌کند که امکان ارتباط مستقیم با زیرساخت فرماندهی و کنترل آنها را فراهم می‌کند.

اقدام توصیه شده

کاربران WinRAR باید فوراً به نسخه ۷.۱۳ یا بالاتر به‌روزرسانی کنند تا خطر CVE-2025-8088 و CVE-2025-6218 را از بین ببرند. هر سازمانی، به‌ویژه آن‌هایی که با داده‌های حساس سروکار دارند، باید سیاست‌های امنیتی ایمیل را بررسی کنند، اجرای خودکار فایل‌ها را از بایگانی‌ها غیرفعال کنند و رفتارهای مشکوک در استخراج را زیر نظر داشته باشند.