WinRARin nollapäivähaavoittuvuus
Suositun WinRAR-tiedostojen arkistointityökalun kehittäjät ovat julkaisseet kiireellisen tietoturvapäivityksen korjatakseen nollapäivähaavoittuvuuden, jota on aktiivisesti hyödynnetty luonnossa. Haavoittuvuus on tunnistettu nimellä CVE-2025-8088 ja sen CVSS-pistemäärä on 8,8. Haavoittuvuus on WinRARin Windows-version polkujen läpi kulkemiseen liittyvä virhe, jonka avulla hyökkääjät voivat suorittaa mielivaltaista koodia erityisesti muotoiltujen arkistotiedostojen kautta.
Korjaus toimitettiin WinRAR-versiossa 7.13, joka julkaistiin 31. heinäkuuta 2025. Haavoittuvuus vaikuttaa WinRARin lisäksi myös RARiin, UnRARiin, UnRAR.dll-tiedostoon ja Windowsille tarkoitettuun siirrettävään UnRAR-lähdekoodiin.
Sisällysluettelo
Miten hyökkäys toimii
Virhe johtuu siitä, että aiemmat WinRAR-versiot voitiin huijata purkamaan tiedostoja käyttämällä arkiston sisällä määritettyä haitallista polkua aiotun purkupolun sijaan. Tätä toimintaa voidaan hyödyntää tiedostojen sijoittamiseen arkaluontoisiin järjestelmähakemistoihin, kuten Windowsin käynnistyskansioon, mikä johtaa koodin automaattiseen suorittamiseen seuraavan järjestelmän kirjautumisen yhteydessä.
Kesäkuussa 2025 korjattu haavoittuvuus CVE-2025-6218 mahdollisti myös hakemistojen läpikulkuhyökkäykset. Uhkatoimijat saattoivat käyttää molempia haavoittuvuuksia yhdessä tiedostopolkujen manipulointiin purkamisen aikana, tiedostojen kirjoittamiseen nimettyjen kansioiden ulkopuolelle ja haitallisen koodin suorittamiseen näyttäessään samalla houkutusdokumenttia uhrin huomion häiritsemiseksi.
Uhkatoimijoiden toiminta ja pimeän verkon linkit
Kyberturvallisuustutkijat ovat yhdistäneet CVE-2025-8088-haavoittuvuuden äskettäiseen hyödyntämiseen hakkeriryhmään Paper Werewolf (eli GOFFEE). Tämä ryhmä on saattanut yhdistää haavoittuvuuden CVE-2025-6218:een kohdennettujen hyökkäysten tekemiseksi.
Tutkimukset paljastivat, että 7. heinäkuuta 2025 kyberrikollinen nimeltä "zeroplayer" mainosti väitettyä WinRAR-nollapäivähaastetta venäjänkielisellä Exploit.in-foorumilla 80 000 dollarilla. Epäillään, että Paper Werewolf hankki tämän hyökkäyksen ja käytti sitä aseena oikeissa hyökkäyksissä.
Hyökkäyskampanjan tiedot
Heinäkuussa 2025 venäläisiin organisaatioihin kohdistettiin tietojenkalasteluviestejä, jotka sisälsivät haitallisia arkistoja. Kun uhrit avasivat nämä tiedostot, hyökkäysketju hyödynsi molempia haavoittuvuuksia seuraaviin tarkoituksiin:
- Kirjoita tiedostot hakemistoihin aiotun purkupolun ulkopuolella.
- Käynnistää koodin suorittamisen uhrin tietämättä.
Merkittävä tekninen yksityiskohta on, että hyökkääjät loivat RAR-arkistoja vaihtoehtoisilla tietovirroilla, joiden nimet sisälsivät suhteellisia polkuja. Nämä virrat kantoivat mielivaltaisia hyötykuormia, ja kun ne purettiin tai avattiin suoraan arkistosta, ne kirjoitettiin mihin tahansa valittuun hakemistoon levyllä.
Hyötykuormaominaisuudet
Yksi tunnistetuista haitallisista hyötykuormista on .NET-pohjainen latausohjelma, joka:
- Kerää järjestelmätietoja, kuten uhrin tietokoneen nimen.
- Lähettää tiedot etäpalvelimelle.
- Lataa lisää haittaohjelmia, mukaan lukien salatun .NET-kokoonpanon.
Paperi-ihmissusi käyttää tätä latauslaitetta yhdessä käänteisen kuoren kanssa pistorasioiden yli, mikä mahdollistaa suoran kommunikoinnin heidän komento- ja ohjausinfrastruktuurinsa kanssa.
Suositeltu toimenpide
WinRAR-käyttäjien tulisi päivittää välittömästi versioon 7.13 tai uudempaan CVE-2025-8088- ja CVE-2025-6218-haittaohjelmien aiheuttamien riskien poistamiseksi. Kaikkien organisaatioiden, erityisesti arkaluonteisia tietoja käsittelevien, tulisi tarkistaa sähköpostin suojauskäytännöt, poistaa käytöstä tiedostojen automaattinen suorittaminen arkistoista ja seurata epäilyttävää tiedonkeruutoimintaa.
