WinRAR शून्य-दिन जोखिम

लोकप्रिय WinRAR फाइल अभिलेख उपयोगिता पछाडिका विकासकर्ताहरूले जंगलमा सक्रिय रूपमा शोषण गरिएको शून्य-दिनको जोखिमलाई समाधान गर्न तत्काल सुरक्षा अपडेट जारी गरेका छन्। CVE-2025-8088 को रूपमा ट्र्याक गरिएको CVSS स्कोर 8.8 को साथ, यो त्रुटि WinRAR को विन्डोज संस्करणमा पाथ ट्र्याभर्सल बग हो जसले आक्रमणकारीहरूलाई विशेष रूपमा तयार पारिएको अभिलेख फाइलहरू मार्फत मनमानी कोड कार्यान्वयन गर्न अनुमति दिन्छ।

यो समाधान जुलाई ३१, २०२५ मा जारी गरिएको WinRAR संस्करण ७.१३ मा पठाइएको थियो। यो जोखिमले WinRAR मात्र नभई RAR, UnRAR, UnRAR.dll, र Windows को लागि पोर्टेबल UnRAR स्रोत कोडलाई पनि असर गर्छ।

शोषण कसरी काम गर्छ

यो त्रुटि यसकारण हुन्छ किनभने WinRAR का पहिलेका संस्करणहरूलाई अभिप्रेत निकासी मार्गको सट्टा अभिलेख भित्र निर्दिष्ट गरिएको दुर्भावनापूर्ण मार्ग प्रयोग गरेर फाइलहरू निकाल्न ठगिन सकिन्छ। यो व्यवहारलाई Windows Startup फोल्डर जस्ता संवेदनशील प्रणाली निर्देशिकाहरूमा फाइलहरू राख्नको लागि शोषण गर्न सकिन्छ, जसले गर्दा अर्को प्रणाली लगइनमा स्वचालित कोड कार्यान्वयन हुन्छ।

जुन २०२५ मा प्याच गरिएको सम्बन्धित जोखिम CVE-2025-6218 ले डाइरेक्टरी ट्राभर्सल आक्रमणहरूलाई पनि सक्षम बनायो। धम्की दिने व्यक्तिले दुवै त्रुटिहरूलाई एक्स्ट्र्याक्शनको क्रममा फाइल मार्गहरू हेरफेर गर्न, तोकिएका फोल्डरहरू बाहिर फाइलहरू लेख्न, र पीडितलाई ध्यान भंग गर्न नक्कली कागजात देखाउँदै दुर्भावनापूर्ण कोड चलाउन सँगै प्रयोग गर्न सक्छन्।

धम्की दिने अभिनेताको गतिविधि र डार्क वेब लिङ्कहरू

साइबर सुरक्षा अनुसन्धानकर्ताहरूले CVE-2025-8088 को हालैको शोषणलाई ह्याकिङ समूह पेपर वेयरवुल्फ (उर्फ GOFFEE) सँग जोडेका छन्। यो समूहले लक्षित आक्रमणहरू सुरु गर्न CVE-2025-6218 सँग त्रुटि जोडेको हुन सक्छ।

अनुसन्धानले पत्ता लगायो कि जुलाई ७, २०२५ मा, 'zeroplayer' भनेर चिनिने एक साइबर अपराधीले रूसी भाषाको फोरम Exploit.in मा $८०,००० मा कथित WinRAR शून्य-दिनको विज्ञापन गरेको थियो। यो शंका गरिएको छ कि पेपर वेयरवुल्फले यो शोषण प्राप्त गर्यो र यसलाई वास्तविक-विश्व आक्रमणहरूमा हतियार प्रयोग गर्यो।

आक्रमण अभियान विवरणहरू

जुलाई २०२५ मा, रूसी संस्थाहरूलाई दुर्भावनापूर्ण अभिलेखहरू भएका फिसिङ इमेलहरू मार्फत लक्षित गरिएको थियो। जब पीडितहरूले यी फाइलहरू खोले, शोषण श्रृंखलाले दुवै कमजोरीहरूलाई निम्नमा प्रयोग गर्‍यो:

• अभिप्रेत निकासी मार्ग बाहिरका निर्देशिकाहरूमा फाइलहरू लेख्नुहोस्।
• पीडितको जानकारी बिना नै कोड कार्यान्वयन ट्रिगर गर्नुहोस्।

एउटा उल्लेखनीय प्राविधिक विवरण यो हो कि आक्रमणकारीहरूले वैकल्पिक डेटा स्ट्रिमहरू सहित RAR अभिलेखहरू सिर्जना गर्थे जसको नाममा सापेक्षिक मार्गहरू थिए। यी स्ट्रिमहरूले मनमानी पेलोडहरू बोकेका थिए र, जब अभिलेखबाट निकालिन्छ वा सिधै खोलिन्छ, डिस्कमा रहेको कुनै पनि छनौट गरिएको निर्देशिकामा लेखिन्थ्यो।

पेलोड क्षमताहरू

पहिचान गरिएका दुर्भावनापूर्ण पेलोडहरू मध्ये एक .NET-आधारित लोडर हो जुन:

• पीडितको कम्प्युटर नाम जस्ता प्रणाली जानकारी सङ्कलन गर्दछ।
• डाटालाई रिमोट सर्भरमा पठाउँछ।
• इन्क्रिप्टेड .NET एसेम्बली सहित थप मालवेयर डाउनलोड गर्छ।

पेपर वेयरवुल्फले यो लोडरलाई सकेटहरूमा रिभर्स शेलसँग संयोजनमा प्रयोग गर्ने रिपोर्ट गरिएको छ, जसले गर्दा तिनीहरूको कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधारसँग प्रत्यक्ष सञ्चार हुन सक्छ।

सिफारिस गरिएको कार्य

CVE-2025-8088 र CVE-2025-6218 बाट जोखिम हटाउन WinRAR का प्रयोगकर्ताहरूले तुरुन्तै संस्करण 7.13 वा पछिको संस्करणमा अद्यावधिक गर्नुपर्छ। कुनै पनि संस्था, विशेष गरी संवेदनशील डेटा ह्यान्डल गर्नेहरूले, इमेल सुरक्षा नीतिहरूको समीक्षा गर्नुपर्छ, अभिलेखहरूबाट स्वचालित फाइल कार्यान्वयन असक्षम पार्नु पर्छ, र शंकास्पद निकासी व्यवहारको लागि निगरानी गर्नुपर्छ।