WinRAR nulles dienas ievainojamība
Populārās failu arhivēšanas utilītprogrammas WinRAR izstrādātāji ir izlaiduši steidzamu drošības atjauninājumu, lai novērstu nulles dienas ievainojamību, kas tiek aktīvi izmantota. Šī ievainojamība, kas identificēta kā CVE-2025-8088 ar CVSS vērtējumu 8,8, ir ceļa šķērsošanas kļūda WinRAR Windows versijā, kas ļauj uzbrucējiem izpildīt patvaļīgu kodu, izmantojot speciāli izveidotus arhīva failus.
Labojums tika piegādāts WinRAR 7.13 versijā, kas izlaista 2025. gada 31. jūlijā. Ievainojamība ietekmē ne tikai WinRAR, bet arī RAR, UnRAR, UnRAR.dll un portatīvo UnRAR pirmkodu operētājsistēmai Windows.
Satura rādītājs
Kā darbojas ekspluatācija
Šī kļūda rodas tāpēc, ka vecākas WinRAR versijas varēja tikt apmānītas, lai izvilktu failus, izmantojot ļaunprātīgu ceļu, kas norādīts arhīvā, nevis paredzēto izvilkšanas ceļu. Šo uzvedību var izmantot, lai ievietotu failus sensitīvās sistēmas direktorijās, piemēram, Windows startēšanas mapē, kas noved pie automātiskas koda izpildes nākamajā sistēmas pieteikšanās reizē.
Saistītā ievainojamība CVE-2025-6218, kas tika izlabota 2025. gada jūnijā, arī ļāva veikt direktoriju šķērsošanas uzbrukumus. Draudētāji varēja izmantot abus trūkumus kopā, lai manipulētu ar failu ceļiem izvilkšanas laikā, rakstītu failus ārpus norādītajām mapēm un palaistu ļaunprātīgu kodu, vienlaikus rādot mānekļa dokumentu, lai novērstu upura uzmanību.
Draudu izpildītāju aktivitāte un tumšā tīmekļa saites
Kiberdrošības pētnieki ir saistījuši nesen notikušo CVE-2025-8088 ievainojamības izmantošanu ar hakeru grupu Paper Werewolf (jeb GOFFEE). Iespējams, šī grupa ir savienojusi šo ievainojamību ar CVE-2025-6218, lai veiktu mērķtiecīgus uzbrukumus.
Izmeklēšanā atklājās, ka 2025. gada 7. jūlijā kibernoziedznieks, kas pazīstams kā “zeroplayer”, krievu valodas forumā Exploit.in reklamēja iespējamu WinRAR nulles dienas programmatūru par 80 000 ASV dolāru. Pastāv aizdomas, ka “Paper Werewolf” ieguva šo ekspluatējumu un izmantoja to kā ieroci reālos uzbrukumos.
Uzbrukuma kampaņas detaļas
2025. gada jūlijā pret Krievijas organizācijām tika nosūtīti pikšķerēšanas e-pasti, kas saturēja ļaunprātīgus arhīvus. Kad upuri atvēra šos failus, uzbrukumu ķēde izmantoja abas ievainojamības, lai:
- Rakstīt failus direktorijās ārpus paredzētā ekstrakcijas ceļa.
- Aktivizēt koda izpildi bez upura ziņas.
Ievērojama tehniska detaļa ir tā, ka uzbrucēji izveidoja RAR arhīvus ar alternatīvām datu plūsmām, kuru nosaukumos bija relatīvi ceļi. Šīs plūsmas nesa patvaļīgu lietderīgo slodzi, un, izvelkot vai atverot tieši no arhīva, tās tika ierakstītas jebkurā izvēlētajā direktorijā diskā.
Kravnesības iespējas
Viena no identificētajām ļaunprātīgajām vērtajām kravām ir .NET bāzes ielādētājs, kas:
- Apkopo sistēmas informāciju, piemēram, upura datora nosaukumu.
- Nosūta datus uz attālo serveri.
- Lejupielādē papildu ļaunprogrammatūru, tostarp šifrētu .NET komplektu.
Tiek ziņots, ka Papīra vilkacis izmanto šo iekrāvēju kombinācijā ar apgrieztu apvalku virs kontaktligzdām, nodrošinot tiešu saziņu ar viņu vadības un kontroles infrastruktūru.
Ieteicamā darbība
WinRAR lietotājiem nekavējoties jāatjaunina uz 7.13 vai jaunāku versiju, lai novērstu CVE-2025-8088 un CVE-2025-6218 radīto risku. Jebkurai organizācijai, īpaši tām, kas apstrādā sensitīvus datus, jāpārskata e-pasta drošības politikas, jāatspējo automātiska failu izpilde no arhīviem un jāuzrauga aizdomīga izvilkšanas darbība.
