Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan Kerentanan Sifar Hari WinRAR

Kerentanan Sifar Hari WinRAR

Menjelang Mezo pada Keterdedahan, perisian hasad
Terjemahkan ke

Pembangun di sebalik utiliti pengarkiban fail WinRAR yang popular telah mengeluarkan kemas kini keselamatan segera untuk menambal kelemahan sifar hari yang dieksploitasi secara aktif di alam liar. Dijejaki sebagai CVE-2025-8088 dengan skor CVSS 8.8, kelemahannya ialah pepijat laluan dalam WinRAR versi Windows yang membolehkan penyerang melaksanakan kod sewenang-wenangnya melalui fail arkib yang dibuat khas.

Pembetulan telah dihantar dalam WinRAR versi 7.13, dikeluarkan pada 31 Julai 2025. Kerentanan memberi kesan bukan sahaja kepada WinRAR tetapi juga RAR, UnRAR, UnRAR.dll dan kod sumber UnRAR mudah alih untuk Windows.

Bagaimana Eksploitasi Berfungsi

Kecacatan berlaku kerana versi sebelumnya WinRAR boleh ditipu untuk mengekstrak fail menggunakan laluan berniat jahat yang ditentukan di dalam arkib dan bukannya laluan pengekstrakan yang dimaksudkan. Tingkah laku ini boleh dieksploitasi untuk meletakkan fail dalam direktori sistem yang sensitif, seperti folder Windows Startup, yang membawa kepada pelaksanaan kod automatik pada log masuk sistem seterusnya.

Kerentanan berkaitan CVE-2025-6218, yang ditampal pada Jun 2025, turut mendayakan serangan lintasan direktori. Aktor ancaman boleh menggunakan kedua-dua kelemahan bersama-sama untuk memanipulasi laluan fail semasa pengekstrakan, menulis fail di luar folder yang ditetapkan dan menjalankan kod berniat jahat sambil menunjukkan dokumen penipuan untuk mengalih perhatian mangsa.

Aktiviti Pelakon Ancaman dan Pautan Web Gelap

Penyelidik keselamatan siber telah mengaitkan eksploitasi CVE-2025-8088 baru-baru ini kepada kumpulan penggodaman Paper Werewolf (aka GOFFEE). Kumpulan ini mungkin telah memasangkan kecacatan dengan CVE-2025-6218 untuk melancarkan serangan yang disasarkan.

Siasatan mendedahkan bahawa pada 7 Julai 2025, seorang penjenayah siber yang dikenali sebagai 'zeroplayer' mengiklankan WinRAR yang dikatakan sifar hari di forum bahasa Rusia Exploit.in dengan harga $80,000. Adalah disyaki bahawa Paper Werewolf memperoleh eksploitasi ini dan menggunakan senjata itu dalam serangan dunia sebenar.

Butiran Kempen Serang

Pada Julai 2025, organisasi Rusia telah disasarkan melalui e-mel pancingan data yang mengandungi arkib berniat jahat. Apabila mangsa membuka fail ini, rantai eksploitasi memanfaatkan kedua-dua kelemahan untuk:

  • Tulis fail ke direktori di luar laluan pengekstrakan yang dimaksudkan.
  • Cetuskan pelaksanaan kod tanpa kesedaran mangsa.

Butiran teknikal yang ketara ialah penyerang mencipta arkib RAR dengan aliran data alternatif yang namanya mengandungi laluan relatif. Strim ini membawa muatan sewenang-wenangnya dan, apabila diekstrak atau dibuka terus daripada arkib, ditulis ke mana-mana direktori yang dipilih pada cakera.

Keupayaan Muatan

Salah satu muatan berniat jahat yang dikenal pasti ialah pemuat berasaskan .NET yang:

  • Mengumpul maklumat sistem, seperti nama komputer mangsa.
  • Menghantar data ke pelayan jauh.
  • Memuat turun perisian hasad tambahan, termasuk pemasangan .NET yang disulitkan.

Paper Werewolf dilaporkan menggunakan pemuat ini dalam kombinasi dengan cangkerang terbalik pada soket, membolehkan komunikasi terus dengan infrastruktur arahan dan kawalan mereka.

Tindakan yang Disyorkan

Pengguna WinRAR harus segera mengemas kini kepada versi 7.13 atau lebih baru untuk menghapuskan risiko daripada CVE-2025-8088 dan CVE-2025-6218. Mana-mana organisasi, terutamanya yang mengendalikan data sensitif, harus menyemak dasar keselamatan e-mel, melumpuhkan pelaksanaan fail automatik daripada arkib dan memantau kelakuan pengekstrakan yang mencurigakan.

Trending

Paling banyak dilihat

Memuatkan...