„WinRAR“ nulinės dienos pažeidžiamumas
Populiarios „WinRAR“ failų archyvavimo priemonės kūrėjai išleido skubų saugumo atnaujinimą, skirtą pataisyti nulinės dienos pažeidžiamumą, kuriuo aktyviai naudojamasi. Šis trūkumas, pažymėtas kaip CVE-2025-8088 ir įvertintas 8,8 CVSS balu, yra kelio apėjimo klaida „Windows“ versijoje, leidžianti užpuolikams vykdyti savavališką kodą per specialiai sukurtus archyvo failus.
Pataisymas buvo pristatytas „WinRAR“ 7.13 versijoje, išleistoje 2025 m. liepos 31 d. Pažeidžiamumas paveikia ne tik „WinRAR“, bet ir RAR, „UnRAR“, „UnRAR.dll“ bei nešiojamąjį „UnRAR“ šaltinio kodą, skirtą „Windows“.
Turinys
Kaip veikia išnaudojimas
Šis trūkumas atsiranda dėl to, kad ankstesnės „WinRAR“ versijos galėjo būti apgaulingai išskleistos failus naudojant kenkėjišką kelią, nurodytą archyve, o ne numatytą išskleistą kelią. Šį elgesį galima išnaudoti failams patalpinti į jautrius sistemos katalogus, tokius kaip „Windows“ paleisties aplankas, todėl kitą kartą prisijungus prie sistemos, kodas buvo vykdomas automatiškai.
Susijusi pažeidžiamumas CVE-2025-6218, pataisytas 2025 m. birželį, taip pat leido vykdyti katalogų apėjimo atakas. Grėsmės veikėjai galėjo naudoti abu trūkumus kartu, norėdami manipuliuoti failų keliais išskleidimo metu, rašyti failus už nurodytų aplankų ribų ir paleisti kenkėjišką kodą, rodydami masalo dokumentą, kad atitrauktų aukos dėmesį.
Grėsmių veikėjų veikla ir tamsiojo interneto nuorodos
Kibernetinio saugumo tyrėjai neseniai įvykdytą CVE-2025-8088 spragą susiejo su įsilaužėlių grupe „Paper Werewolf“ (dar žinoma kaip GOFFEE). Ši grupė galėjo susieti šią spragą su CVE-2025-6218, kad galėtų vykdyti tikslines atakas.
Tyrimai atskleidė, kad 2025 m. liepos 7 d. kibernetinis nusikaltėlis, žinomas kaip „zeroplayer“, rusų kalbos forume „Exploit.in“ už 80 000 USD reklamavo tariamą nulinės dienos „WinRAR“ spragą. Įtariama, kad „Paper Werewolf“ gavo šią spragą ir pavertė ją ginklu realiose atakose.
Atakos kampanijos detalės
2025 m. liepą Rusijos organizacijos tapo sukčiavimo el. laiškų su kenkėjiškais archyvais taikiniu. Aukos atidariusios šiuos failus, išnaudojimo grandinė pasinaudojo abiem pažeidžiamumais, kad:
- Rašykite failus į katalogus, esančius už numatyto išgavimo kelio ribų.
- Suaktyvinti kodo vykdymą be aukos žinios.
Svarbus techninis aspektas yra tas, kad užpuolikai kūrė RAR archyvus su alternatyviais duomenų srautais, kurių pavadinimuose buvo santykiniai keliai. Šie srautai nešė savavališkus naudinguosius duomenis ir, išgauti arba atidaryti tiesiai iš archyvo, buvo įrašomi į bet kurį pasirinktą disko katalogą.
Naudingosios apkrovos galimybės
Vienas iš nustatytų kenkėjiškų paketų yra .NET pagrindu veikiantis įkroviklis, kuris:
- Renka sistemos informaciją, pavyzdžiui, aukos kompiuterio pavadinimą.
- Siunčia duomenis į nuotolinį serverį.
- Atsisiunčia papildomą kenkėjišką programą, įskaitant užšifruotą .NET rinkinį.
Pranešama, kad „Paper Werewolf“ naudoja šį krautuvą kartu su atvirkštiniu apvalkalu per lizdus, leidžiančiu tiesiogiai bendrauti su jų komandų ir valdymo infrastruktūra.
Rekomenduojamas veiksmas
„WinRAR“ naudotojai turėtų nedelsdami atnaujinti į 7.13 arba naujesnę versiją, kad pašalintų CVE-2025-8088 ir CVE-2025-6218 keliamą riziką. Bet kuri organizacija, ypač tvarkanti slaptus duomenis, turėtų peržiūrėti el. pašto saugumo politiką, išjungti automatinį failų vykdymą iš archyvų ir stebėti įtartiną išgavimo elgseną.
