WinRAR nulladik napi sebezhetőség
A népszerű WinRAR fájlarchiváló segédprogram fejlesztői sürgős biztonsági frissítést adtak ki egy olyan nulladik napi sebezhetőség javítására, amelyet aktívan kihasználnak a felhasználók. A CVE-2025-8088 azonosítójú és 8,8-as CVSS-pontszámú hiba a WinRAR Windows-verziójában található útvonalbejárásos hiba, amely lehetővé teszi a támadók számára, hogy tetszőleges kódot futtassanak speciálisan létrehozott archív fájlokon keresztül.
A javítás a WinRAR 7.13-as verziójában jelent meg, amely 2025. július 31-én jelent meg. A sebezhetőség nemcsak a WinRAR-t, hanem a RAR-t, az UnRAR-t, az UnRAR.dll-t és a Windowshoz készült hordozható UnRAR forráskódot is érinti.
Tartalomjegyzék
Hogyan működik az exploit
A hiba azért fordul elő, mert a WinRAR korábbi verzióiban a felhasználók megtévesztve, a tervezett kibontási útvonal helyett egy, az archívumon belül megadott rosszindulatú elérési utat használhattak fájlok kinyerésére. Ez a viselkedés kihasználható fájlok érzékeny rendszerkönyvtárakba, például a Windows Startup mappába helyezésére, ami a következő bejelentkezéskor automatikus kódfuttatást eredményezhet.
A kapcsolódó, 2025 júniusában javított CVE-2025-6218 sebezhetőség szintén lehetővé tette a könyvtárbejárásos támadásokat. A támadók mindkét hibát együttesen kihasználhatták a fájlelérési utak manipulálására a kicsomagolás során, a kijelölt mappákon kívülre írhattak fájlokat, és rosszindulatú kódot futtathattak, miközben egy csapdadokumentumot mutattak be a figyelmük elterelése érdekében.
Fenyegető szereplők tevékenysége és sötét webes linkek
Kiberbiztonsági kutatók a CVE-2025-8088 sérülékenység közelmúltbeli kihasználását a Paper Werewolf (más néven GOFFEE) hackercsoporthoz kötötték. Ez a csoport valószínűleg a CVE-2025-6218 sérülékenységgel párosította a hibát célzott támadások indításához.
A nyomozás során kiderült, hogy 2025. július 7-én egy „zeroplayer” néven ismert kiberbűnöző egy állítólagos WinRAR nulladik napi kódot hirdetett az orosz nyelvű Exploit.in fórumon 80 000 dollárért. A gyanú szerint a Paper Werewolf megszerezte ezt az exploitot, és valós támadásokban fegyverként használta fel.
Támadó kampány részletei
2025 júliusában orosz szervezeteket támadtak meg adathalász e-mailekkel, amelyek rosszindulatú archívumokat tartalmaztak. Amikor az áldozatok megnyitották ezeket a fájlokat, a támadási lánc mindkét sebezhetőséget kihasználta a következőkre:
- Fájlokat írjon a kívánt kibontási útvonalon kívüli könyvtárakba.
- Kódfuttatás elindítása az áldozat tudta nélkül.
Egy figyelemre méltó technikai részlet, hogy a támadók alternatív adatfolyamokkal hoztak létre RAR archívumokat, amelyek nevei relatív elérési utakat tartalmaztak. Ezek a folyamok tetszőleges hasznos adatokat hordoztak, és amikor közvetlenül az archívumból kibontották vagy megnyitották őket, a lemez bármely kiválasztott könyvtárába íródtak.
Hasznos teher képességei
Az azonosított rosszindulatú hasznos csomagok egyike egy .NET-alapú betöltő, amely:
- Rendszerinformációkat gyűjt, például az áldozat számítógépének nevét.
- Elküldi az adatokat egy távoli szerverre.
- További kártevőket tölt le, beleértve egy titkosított .NET assembly-t is.
A Paper Werewolf állítólag ezt a betöltőt egy fordított héjjal kombinálva használja a foglalatok felett, lehetővé téve a közvetlen kommunikációt a parancsnoki és irányító infrastruktúrájukkal.
Ajánlott intézkedés
A WinRAR felhasználóinak azonnal frissíteniük kell a 7.13-as vagy újabb verzióra, hogy elkerüljék a CVE-2025-8088 és CVE-2025-6218 által jelentett kockázatot. Minden szervezetnek, különösen azoknak, amelyek érzékeny adatokat kezelnek, felül kell vizsgálnia az e-mail biztonsági szabályzatait, le kell tiltania az archívumokból történő automatikus fájlvégrehajtást, és figyelnie kell a gyanús kinyerési viselkedést.
