Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet WinRAR nulldagssårbarhet

WinRAR nulldagssårbarhet

Med Mezo i Sårbarhet, Skadelig programvare
Oversett til:

Utviklerne bak det populære WinRAR-filarkiveringsverktøyet har gitt ut en viktig sikkerhetsoppdatering for å oppdatere et nulldagssårbarhet som aktivt utnyttes i naturen. Feilen, sporet som CVE-2025-8088 med en CVSS-poengsum på 8,8, er en sti-traverseringsfeil i Windows-versjonen av WinRAR som lar angripere kjøre vilkårlig kode gjennom spesiallagde arkivfiler.

Rettelsen ble levert i WinRAR versjon 7.13, utgitt 31. juli 2025. Sårbarheten påvirker ikke bare WinRAR, men også RAR, UnRAR, UnRAR.dll og den bærbare UnRAR-kildekoden for Windows.

Hvordan utnyttelsen fungerer

Feilen oppstår fordi tidligere versjoner av WinRAR kunne bli lurt til å pakke ut filer ved hjelp av en ondsinnet sti spesifisert i arkivet i stedet for den tiltenkte utpakkingsstien. Denne oppførselen kan utnyttes til å plassere filer i sensitive systemkataloger, for eksempel Windows oppstartsmappen, noe som fører til automatisk kodekjøring ved neste systempålogging.

Den relaterte sårbarheten CVE-2025-6218, som ble oppdatert i juni 2025, muliggjorde også katalogtraverseringsangrep. Trusselaktører kunne bruke begge feilene sammen til å manipulere filstier under utpakking, skrive filer utenfor angitte mapper og kjøre skadelig kode mens de viste et lokkedokument for å distrahere offeret.

Trusselaktøraktivitet og lenker på det mørke nettet

Forskere innen nettsikkerhet har knyttet den nylige utnyttelsen av CVE-2025-8088 til hackergruppen Paper Werewolf (også kjent som GOFFEE). Denne gruppen kan ha koblet feilen med CVE-2025-6218 for å iverksette målrettede angrep.

Undersøkelser avdekket at en nettkriminell kjent som «zeroplayer» 7. juli 2025 annonserte en angivelig WinRAR zero-day-versjon på det russiskspråklige forumet Exploit.in for 80 000 dollar. Det mistenkes at Paper Werewolf fikk tak i denne utnyttelsen og brukte den som våpen i angrep i den virkelige verden.

Detaljer om angrepskampanjen

I juli 2025 ble russiske organisasjoner målrettet gjennom phishing-e-poster som inneholdt ondsinnede arkiver. Da ofrene åpnet disse filene, utnyttet angrepskjeden begge sårbarhetene til å:

  • Skriv filer til mapper utenfor den tiltenkte utpakkingsbanen.
  • Utløse kjøring av kode uten offerets viten.

En bemerkelsesverdig teknisk detalj er at angriperne opprettet RAR-arkiver med alternative datastrømmer hvis navn inneholdt relative stier. Disse strømmene bar vilkårlige nyttelaster, og når de ble hentet ut eller åpnet direkte fra arkivet, ble de skrevet til en hvilken som helst valgt katalog på disken.

Nyttelastkapasitet

En av de identifiserte skadelige nyttelastene er en .NET-basert laster som:

  • Samler inn systeminformasjon, for eksempel offerets datamaskinnavn.
  • Sender dataene til en ekstern server.
  • Laster ned ytterligere skadelig programvare, inkludert en kryptert .NET-samling.

Paper Werewolf bruker angivelig denne lasteren i kombinasjon med et omvendt skall over sokkeler, noe som tillater direkte kommunikasjon med deres kommando- og kontrollinfrastruktur.

Anbefalt handling

Brukere av WinRAR bør umiddelbart oppdatere til versjon 7.13 eller nyere for å eliminere risikoen fra CVE-2025-8088 og CVE-2025-6218. Enhver organisasjon, spesielt de som håndterer sensitive data, bør gjennomgå sikkerhetspolicyer for e-post, deaktivere automatisk filkjøring fra arkiver og overvåke mistenkelig utpakkingsatferd.

Trender

Mest sett

Laster inn...