Ponuda s popustom na više licenci
Baza prijetnji Ranjivost Zero-day ranjivost WinRAR-a

Zero-day ranjivost WinRAR-a

Do Mezo. Ranjivost, Malware. godine
Prevedi na:

Razvojni programeri popularnog uslužnog programa za arhiviranje datoteka WinRAR izdali su hitno sigurnosno ažuriranje kako bi popravili zero-day ranjivost koja se aktivno iskorištava. Praćena kao CVE-2025-8088 s CVSS ocjenom 8,8, greška je u prolasku putanje u Windows verziji WinRAR-a koja napadačima omogućuje izvršavanje proizvoljnog koda putem posebno izrađenih arhivskih datoteka.

Popravak je isporučen u verziji WinRAR-a 7.13, objavljenoj 31. srpnja 2025. Ranjivost utječe ne samo na WinRAR, već i na RAR, UnRAR, UnRAR.dll i prijenosni izvorni kod UnRAR-a za Windows.

Kako iskorištavanje funkcionira

Do greške dolazi jer su se ranije verzije WinRAR-a mogle prevariti da raspakiraju datoteke korištenjem zlonamjerne putanje navedene unutar arhive, a ne namjeravane putanje raspakiranja. Ovo ponašanje može se iskoristiti za smještaj datoteka u osjetljive sistemske direktorije, kao što je mapa Startup sustava Windows, što dovodi do automatskog izvršavanja koda pri sljedećoj prijavi na sustav.

Povezana ranjivost CVE-2025-6218, zakrpana u lipnju 2025., također je omogućila napade prolaskom direktorija. Akteri prijetnji mogli su koristiti obje propuste zajedno za manipuliranje putanjama datoteka tijekom ekstrakcije, pisanje datoteka izvan određenih mapa i pokretanje zlonamjernog koda dok prikazuju lažni dokument kako bi odvratili pažnju žrtve.

Aktivnost aktera prijetnji i poveznice na tamni web

Istraživači kibernetičke sigurnosti povezali su nedavno iskorištavanje CVE-2025-8088 s hakerskom skupinom Paper Werewolf (poznatom i kao GOFFEE). Ova skupina je možda uparila propust s CVE-2025-6218 kako bi pokrenula ciljane napade.

Istrage su otkrile da je 7. srpnja 2025. kibernetički kriminalac poznat kao 'zeroplayer' na ruskom forumu Exploit.in oglašavao navodni WinRAR zero-day ranjivi softver za 80.000 dolara. Sumnja se da je Paper Werewolf nabavio ovaj exploit i iskoristio ga kao oružje u napadima u stvarnom svijetu.

Detalji napadačke kampanje

U srpnju 2025. ruske organizacije bile su meta phishing e-poruka koje su sadržavale zlonamjerne arhive. Kada su žrtve otvorile te datoteke, lanac iskorištavanja iskoristio je obje ranjivosti za:

  • Zapisivanje datoteka u direktorije izvan predviđene putanje ekstrakcije.
  • Pokrenuti izvršavanje koda bez znanja žrtve.

Značajan tehnički detalj je da su napadači stvarali RAR arhive s alternativnim tokovima podataka čija su imena sadržavala relativne putanje. Ti su tokovi nosili proizvoljne podatke i, kada bi se izdvojili ili otvorili izravno iz arhive, zapisivali bi se u bilo koji odabrani direktorij na disku.

Mogućnosti korisnog tereta

Jedan od identificiranih zlonamjernih sadržaja je .NET-bazirani program za učitavanje koji:

  • Prikuplja sistemske podatke, kao što je naziv računala žrtve.
  • Šalje podatke na udaljeni poslužitelj.
  • Preuzima dodatni zlonamjerni softver, uključujući šifrirani .NET sklop.

Paper Werewolf navodno koristi ovaj program za punjenje u kombinaciji s obrnutom školjkom preko utičnica, što omogućuje izravnu komunikaciju s njihovom zapovjedno-kontrolnom infrastrukturom.

Preporučena radnja

Korisnici WinRAR-a trebali bi odmah ažurirati na verziju 7.13 ili noviju kako bi uklonili rizik od CVE-2025-8088 i CVE-2025-6218. Svaka organizacija, posebno one koje rukuju osjetljivim podacima, trebala bi pregledati sigurnosne politike e-pošte, onemogućiti automatsko izvršavanje datoteka iz arhiva i pratiti sumnjivo ponašanje prilikom ekstrakcije.

U trendu

Nagledanije

Učitavam...