WinRAR शून्य-दिन भेद्यता

लोकप्रिय WinRAR फ़ाइल संग्रह उपयोगिता के डेवलपर्स ने एक ज़ीरो-डे भेद्यता को पैच करने के लिए एक तत्काल सुरक्षा अद्यतन जारी किया है जिसका सक्रिय रूप से शोषण किया जा रहा है। 8.8 के CVSS स्कोर के साथ CVE-2025-8088 के रूप में ट्रैक की गई यह खामी WinRAR के विंडोज संस्करण में एक पाथ ट्रैवर्सल बग है जो हमलावरों को विशेष रूप से तैयार की गई संग्रह फ़ाइलों के माध्यम से मनमाना कोड निष्पादित करने की अनुमति देती है।

यह सुधार WinRAR संस्करण 7.13 में भेजा गया था, जो 31 जुलाई, 2025 को जारी किया गया था। यह भेद्यता न केवल WinRAR बल्कि RAR, UnRAR, UnRAR.dll और Windows के लिए पोर्टेबल UnRAR स्रोत कोड को भी प्रभावित करती है।

शोषण कैसे काम करता है

यह खामी इसलिए होती है क्योंकि WinRAR के पुराने संस्करणों में फ़ाइलों को निकालने के लिए इच्छित निष्कर्षण पथ के बजाय संग्रह के अंदर निर्दिष्ट दुर्भावनापूर्ण पथ का उपयोग किया जा सकता था। इस व्यवहार का फायदा उठाकर फ़ाइलों को संवेदनशील सिस्टम निर्देशिकाओं, जैसे कि Windows स्टार्टअप फ़ोल्डर, में रखा जा सकता है, जिससे अगली बार सिस्टम लॉगिन पर स्वचालित कोड निष्पादन हो जाता है।

जून 2025 में पैच की गई संबंधित भेद्यता CVE-2025-6218, डायरेक्टरी ट्रैवर्सल हमलों को भी सक्षम बनाती थी। ख़तरा पैदा करने वाले दोनों खामियों का एक साथ इस्तेमाल करके निष्कर्षण के दौरान फ़ाइल पथों में हेरफेर कर सकते थे, निर्दिष्ट फ़ोल्डरों के बाहर फ़ाइलें लिख सकते थे, और पीड़ित का ध्यान भटकाने के लिए एक फ़र्ज़ी दस्तावेज़ दिखाते हुए दुर्भावनापूर्ण कोड चला सकते थे।

ख़तरा अभिनेता गतिविधि और डार्क वेब लिंक

साइबर सुरक्षा शोधकर्ताओं ने CVE-2025-8088 के हालिया दोहन को हैकिंग समूह पेपर वेयरवुल्फ (उर्फ GOFFEE) से जोड़ा है। इस समूह ने लक्षित हमले करने के लिए इस खामी को CVE-2025-6218 के साथ जोड़ा होगा।

जाँच से पता चला कि 7 जुलाई, 2025 को, 'ज़ीरोप्लेयर' नाम के एक साइबर अपराधी ने रूसी भाषा के फ़ोरम Exploit.in पर एक कथित WinRAR ज़ीरो-डे का विज्ञापन 80,000 डॉलर में दिया था। यह संदेह है कि पेपर वेयरवुल्फ़ ने इस एक्सप्लॉइट को हासिल किया और इसे असल दुनिया के हमलों में हथियार के तौर पर इस्तेमाल किया।

हमले के अभियान का विवरण

जुलाई 2025 में, रूसी संगठनों को दुर्भावनापूर्ण अभिलेखों वाले फ़िशिंग ईमेल के ज़रिए निशाना बनाया गया। जब पीड़ितों ने ये फ़ाइलें खोलीं, तो शोषण श्रृंखला ने दोनों कमज़ोरियों का फ़ायदा उठाया:

• इच्छित निष्कर्षण पथ के बाहर निर्देशिकाओं में फ़ाइलें लिखें।
• पीड़ित की जानकारी के बिना ट्रिगर कोड निष्पादन।

एक उल्लेखनीय तकनीकी विवरण यह है कि हमलावरों ने वैकल्पिक डेटा स्ट्रीम वाले RAR अभिलेखागार बनाए, जिनके नामों में सापेक्ष पथ शामिल थे। ये स्ट्रीम मनमाने पेलोड ले जाते थे और जब उन्हें अभिलेखागार से सीधे निकाला या खोला जाता था, तो डिस्क पर किसी भी चुनी हुई निर्देशिका में लिख दिए जाते थे।

पेलोड क्षमताएं

पहचाने गए दुर्भावनापूर्ण पेलोड में से एक .NET-आधारित लोडर है जो:

• सिस्टम जानकारी एकत्रित करता है, जैसे पीड़ित का कंप्यूटर नाम।
• डेटा को दूरस्थ सर्वर पर भेजता है.
• एन्क्रिप्टेड .NET असेंबली सहित अतिरिक्त मैलवेयर डाउनलोड करता है।

पेपर वेयरवोल्फ कथित तौर पर इस लोडर का उपयोग सॉकेट्स पर रिवर्स शेल के साथ संयोजन में करता है, जिससे उनके कमांड-एंड-कंट्रोल बुनियादी ढांचे के साथ सीधा संचार संभव हो जाता है।

अनुशंसित कार्रवाई

WinRAR के उपयोगकर्ताओं को CVE-2025-8088 और CVE-2025-6218 के जोखिम को समाप्त करने के लिए तुरंत संस्करण 7.13 या बाद के संस्करण में अपडेट करना चाहिए। किसी भी संगठन, विशेष रूप से संवेदनशील डेटा को संभालने वाले संगठनों को, ईमेल सुरक्षा नीतियों की समीक्षा करनी चाहिए, अभिलेखागार से स्वचालित फ़ाइल निष्पादन को अक्षम करना चाहिए, और संदिग्ध निष्कर्षण व्यवहार की निगरानी करनी चाहिए।