Vulnerabilità zero-day di WinRAR
Gli sviluppatori della popolare utility di archiviazione file WinRAR hanno rilasciato un aggiornamento di sicurezza urgente per correggere una vulnerabilità zero-day ampiamente sfruttata. Identificata come CVE-2025-8088 con un punteggio CVSS di 8,8, la falla è un bug di path traversal nella versione Windows di WinRAR che consente agli aggressori di eseguire codice arbitrario tramite file di archivio appositamente creati.
La correzione è stata inclusa nella versione 7.13 di WinRAR, rilasciata il 31 luglio 2025. La vulnerabilità non riguarda solo WinRAR, ma anche RAR, UnRAR, UnRAR.dll e il codice sorgente portatile di UnRAR per Windows.
Sommario
Come funziona l’exploit
La falla si verifica perché le versioni precedenti di WinRAR potevano essere indotte a estrarre i file utilizzando un percorso dannoso specificato all'interno dell'archivio anziché il percorso di estrazione previsto. Questo comportamento può essere sfruttato per posizionare i file in directory di sistema sensibili, come la cartella di avvio di Windows, causando l'esecuzione automatica di codice al successivo accesso al sistema.
Anche la vulnerabilità correlata CVE-2025-6218, corretta a giugno 2025, consentiva attacchi di tipo directory traversal. Gli autori delle minacce potevano sfruttare entrambe le falle insieme per manipolare i percorsi dei file durante l'estrazione, scrivere file al di fuori delle cartelle designate ed eseguire codice dannoso, mostrando al contempo un documento escamotage per distrarre la vittima.
Attività degli attori della minaccia e link al Dark Web
I ricercatori di sicurezza informatica hanno collegato il recente sfruttamento della vulnerabilità CVE-2025-8088 al gruppo di hacker Paper Werewolf (noto anche come GOFFEE). Questo gruppo potrebbe aver associato la falla alla vulnerabilità CVE-2025-6218 per lanciare attacchi mirati.
Le indagini hanno rivelato che il 7 luglio 2025, un criminale informatico noto come "zeroplayer" ha pubblicizzato un presunto exploit zero-day per WinRAR sul forum in lingua russa Exploit.in per 80.000 dollari. Si sospetta che Paper Werewolf abbia ottenuto questo exploit e lo abbia utilizzato come arma in attacchi nel mondo reale.
Dettagli della campagna di attacco
Nel luglio 2025, alcune organizzazioni russe sono state prese di mira tramite e-mail di phishing contenenti archivi dannosi. Quando le vittime hanno aperto questi file, la catena di exploit ha sfruttato entrambe le vulnerabilità per:
- Scrivere i file in directory esterne al percorso di estrazione previsto.
- Attivare l'esecuzione del codice senza che la vittima se ne accorga.
Un dettaglio tecnico degno di nota è che gli aggressori hanno creato archivi RAR con flussi di dati alternativi i cui nomi contenevano percorsi relativi. Questi flussi trasportavano payload arbitrari e, una volta estratti o aperti direttamente dall'archivio, venivano scritti in qualsiasi directory scelta sul disco.
Capacità di carico utile
Uno dei payload dannosi identificati è un caricatore basato su .NET che:
- Raccoglie informazioni di sistema, come il nome del computer della vittima.
- Invia i dati a un server remoto.
- Scarica malware aggiuntivo, tra cui un assembly .NET crittografato.
Si dice che Paper Werewolf utilizzi questo caricatore in combinazione con una shell inversa su socket, consentendo una comunicazione diretta con la propria infrastruttura di comando e controllo.
Azione consigliata
Gli utenti di WinRAR dovrebbero aggiornare immediatamente alla versione 7.13 o successiva per eliminare il rischio derivante da CVE-2025-8088 e CVE-2025-6218. Qualsiasi organizzazione, in particolare quelle che gestiscono dati sensibili, dovrebbe rivedere le policy di sicurezza della posta elettronica, disabilitare l'esecuzione automatica dei file dagli archivi e monitorare eventuali comportamenti sospetti durante l'estrazione.
