Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid WinRAR Zero-Day-kwetsbaarheid

WinRAR Zero-Day-kwetsbaarheid

Tegen Mezo in Kwetsbaarheid, Malware
Vertalen naar:

De ontwikkelaars van het populaire WinRAR-hulpprogramma voor bestandsarchivering hebben een dringende beveiligingsupdate uitgebracht om een zero-day-kwetsbaarheid te verhelpen die actief wordt uitgebuit. De kwetsbaarheid, geregistreerd als CVE-2025-8088 met een CVSS-score van 8,8, betreft een path traversal-bug in de Windows-versie van WinRAR, waardoor aanvallers willekeurige code kunnen uitvoeren via speciaal vervaardigde archiefbestanden.

De oplossing werd meegeleverd in WinRAR versie 7.13, uitgebracht op 31 juli 2025. De kwetsbaarheid heeft niet alleen invloed op WinRAR, maar ook op RAR, UnRAR, UnRAR.dll en de draagbare UnRAR-broncode voor Windows.

Hoe de exploit werkt

Het lek ontstaat doordat eerdere versies van WinRAR ertoe verleid kunnen worden bestanden uit te pakken via een kwaadaardig pad dat in het archief is opgegeven in plaats van het beoogde uitpakpad. Dit gedrag kan worden misbruikt om bestanden in gevoelige systeemmappen te plaatsen, zoals de opstartmap van Windows, wat leidt tot automatische uitvoering van code bij de volgende systeemaanmelding.

De gerelateerde kwetsbaarheid CVE-2025-6218, die in juni 2025 werd gepatcht, maakte ook directory traversal-aanvallen mogelijk. Kwaadwillenden konden beide kwetsbaarheden samen gebruiken om bestandspaden te manipuleren tijdens het uitpakken, bestanden buiten de aangewezen mappen te schrijven en schadelijke code uit te voeren terwijl ze een afleidingsdocument lieten zien om het slachtoffer af te leiden.

Activiteiten van dreigingsactoren en links naar het dark web

Cybersecurityonderzoekers hebben de recente exploitatie van CVE-2025-8088 in verband gebracht met de hackersgroep Paper Werewolf (ook bekend als GOFFEE). Deze groep heeft de kwetsbaarheid mogelijk gecombineerd met CVE-2025-6218 om gerichte aanvallen uit te voeren.

Onderzoek heeft uitgewezen dat een cybercrimineel, bekend als 'zeroplayer', op 7 juli 2025 een vermeende WinRAR zero-day-exploit heeft geadverteerd op het Russischtalige forum Exploit.in voor $ 80.000. Het vermoeden bestaat dat Paper Werewolf deze exploit heeft verkregen en gebruikt voor aanvallen in de echte wereld.

Details van de aanvalscampagne

In juli 2025 werden Russische organisaties het doelwit van phishingmails met kwaadaardige archieven. Wanneer slachtoffers deze bestanden openden, maakte de exploitketen gebruik van beide kwetsbaarheden om:

  • Schrijf bestanden naar mappen buiten het beoogde extractiepad.
  • Uitvoering van de code zonder dat het slachtoffer hiervan op de hoogte is.

Een opmerkelijk technisch detail is dat aanvallers RAR-archieven creëerden met alternatieve gegevensstromen waarvan de namen relatieve paden bevatten. Deze stromen bevatten willekeurige payloads en werden, wanneer ze rechtstreeks uit het archief werden geëxtraheerd of geopend, naar een willekeurige directory op de schijf geschreven.

Laadvermogencapaciteiten

Een van de geïdentificeerde schadelijke payloads is een .NET-gebaseerde loader die:

  • Verzamelt systeemgegevens, zoals de computernaam van het slachtoffer.
  • Stuurt de gegevens naar een externe server.
  • Downloadt extra malware, waaronder een gecodeerde .NET-assembly.

Paper Werewolf gebruikt deze loader naar verluidt in combinatie met een reverse shell over sockets, waardoor directe communicatie met hun command-and-control-infrastructuur mogelijk is.

Aanbevolen actie

Gebruikers van WinRAR moeten onmiddellijk updaten naar versie 7.13 of hoger om het risico van CVE-2025-8088 en CVE-2025-6218 te elimineren. Organisaties, met name organisaties die gevoelige gegevens verwerken, moeten het e-mailbeveiligingsbeleid controleren, automatische bestandsuitvoering vanuit archieven uitschakelen en letten op verdacht extractiegedrag.

Trending

Meest bekeken

Bezig met laden...