WinRAR ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀ

ਪ੍ਰਸਿੱਧ WinRAR ਫਾਈਲ ਆਰਕਾਈਵਿੰਗ ਯੂਟਿਲਿਟੀ ਦੇ ਪਿੱਛੇ ਡਿਵੈਲਪਰਾਂ ਨੇ ਜੰਗਲ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕੀਤੀ ਜਾ ਰਹੀ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ ਇੱਕ ਜ਼ਰੂਰੀ ਸੁਰੱਖਿਆ ਅਪਡੇਟ ਜਾਰੀ ਕੀਤਾ ਹੈ। 8.8 ਦੇ CVSS ਸਕੋਰ ਦੇ ਨਾਲ CVE-2025-8088 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ, ਇਹ ਨੁਕਸ WinRAR ਦੇ ਵਿੰਡੋਜ਼ ਸੰਸਕਰਣ ਵਿੱਚ ਇੱਕ ਪਾਥ ਟ੍ਰੈਵਰਸਲ ਬੱਗ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀਆਂ ਆਰਕਾਈਵ ਫਾਈਲਾਂ ਰਾਹੀਂ ਮਨਮਾਨੇ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਇਹ ਫਿਕਸ WinRAR ਵਰਜਨ 7.13 ਵਿੱਚ ਭੇਜਿਆ ਗਿਆ ਸੀ, ਜੋ 31 ਜੁਲਾਈ, 2025 ਨੂੰ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਕਮਜ਼ੋਰੀ ਸਿਰਫ਼ WinRAR ਨੂੰ ਹੀ ਨਹੀਂ, ਸਗੋਂ RAR, UnRAR, UnRAR.dll, ਅਤੇ Windows ਲਈ ਪੋਰਟੇਬਲ UnRAR ਸੋਰਸ ਕੋਡ ਨੂੰ ਵੀ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ।

ਸ਼ੋਸ਼ਣ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਇਹ ਨੁਕਸ ਇਸ ਲਈ ਹੁੰਦਾ ਹੈ ਕਿਉਂਕਿ WinRAR ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣਾਂ ਨੂੰ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਲੋੜੀਂਦੇ ਐਕਸਟਰੈਕਸ਼ਨ ਮਾਰਗ ਦੀ ਬਜਾਏ ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ ਦਿੱਤੇ ਗਏ ਖਤਰਨਾਕ ਮਾਰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ। ਇਸ ਵਿਵਹਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਫਾਈਲਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਸਿਸਟਮ ਡਾਇਰੈਕਟਰੀਆਂ, ਜਿਵੇਂ ਕਿ ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ ਰੱਖਣ ਲਈ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਅਗਲੇ ਸਿਸਟਮ ਲੌਗਇਨ 'ਤੇ ਆਟੋਮੈਟਿਕ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੁੰਦਾ ਹੈ।

ਜੂਨ 2025 ਵਿੱਚ ਪੈਚ ਕੀਤੀ ਗਈ ਸੰਬੰਧਿਤ ਕਮਜ਼ੋਰੀ CVE-2025-6218 ਨੇ ਡਾਇਰੈਕਟਰੀ ਟ੍ਰਾਵਰਸਲ ਹਮਲਿਆਂ ਨੂੰ ਵੀ ਸਮਰੱਥ ਬਣਾਇਆ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਦੋਵੇਂ ਖਾਮੀਆਂ ਨੂੰ ਇਕੱਠੇ ਐਕਸਟਰੈਕਸ਼ਨ ਦੌਰਾਨ ਫਾਈਲ ਮਾਰਗਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਨਿਰਧਾਰਤ ਫੋਲਡਰਾਂ ਤੋਂ ਬਾਹਰ ਫਾਈਲਾਂ ਲਿਖਣ, ਅਤੇ ਪੀੜਤ ਦਾ ਧਿਆਨ ਭਟਕਾਉਣ ਲਈ ਇੱਕ ਨਕਲੀ ਦਸਤਾਵੇਜ਼ ਦਿਖਾਉਂਦੇ ਹੋਏ ਖਤਰਨਾਕ ਕੋਡ ਚਲਾਉਣ ਲਈ ਵਰਤ ਸਕਦੇ ਹਨ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਗਤੀਵਿਧੀ ਅਤੇ ਡਾਰਕ ਵੈੱਬ ਲਿੰਕ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ CVE-2025-8088 ਦੇ ਹਾਲੀਆ ਸ਼ੋਸ਼ਣ ਨੂੰ ਹੈਕਿੰਗ ਸਮੂਹ ਪੇਪਰ ਵੇਅਰਵੋਲਫ (ਉਰਫ਼ GOFFEE) ਨਾਲ ਜੋੜਿਆ ਹੈ। ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਇਸ ਸਮੂਹ ਨੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਲਈ CVE-2025-6218 ਨਾਲ ਇਸ ਨੁਕਸ ਨੂੰ ਜੋੜਿਆ ਹੋਵੇ।

ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ 7 ਜੁਲਾਈ, 2025 ਨੂੰ, 'ਜ਼ੀਰੋਪਲੇਅਰ' ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਸਾਈਬਰ ਅਪਰਾਧੀ ਨੇ ਰੂਸੀ-ਭਾਸ਼ਾ ਫੋਰਮ Exploit.in 'ਤੇ $80,000 ਵਿੱਚ ਇੱਕ ਕਥਿਤ WinRAR ਜ਼ੀਰੋ-ਡੇ ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੱਤਾ। ਇਹ ਸ਼ੱਕ ਹੈ ਕਿ ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਨੇ ਇਹ ਸ਼ੋਸ਼ਣ ਪ੍ਰਾਪਤ ਕੀਤਾ ਅਤੇ ਇਸਨੂੰ ਅਸਲ-ਸੰਸਾਰ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਹਥਿਆਰਬੰਦ ਬਣਾਇਆ।

ਹਮਲਾ ਮੁਹਿੰਮ ਦੇ ਵੇਰਵੇ

ਜੁਲਾਈ 2025 ਵਿੱਚ, ਰੂਸੀ ਸੰਗਠਨਾਂ ਨੂੰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਪੁਰਾਲੇਖ ਸਨ। ਜਦੋਂ ਪੀੜਤਾਂ ਨੇ ਇਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਖੋਲ੍ਹਿਆ, ਤਾਂ ਸ਼ੋਸ਼ਣ ਚੇਨ ਨੇ ਦੋਵਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਇਆ:

• ਫਾਈਲਾਂ ਨੂੰ ਲੋੜੀਂਦੇ ਐਕਸਟਰੈਕਸ਼ਨ ਮਾਰਗ ਤੋਂ ਬਾਹਰ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਲਿਖੋ।
• ਪੀੜਤ ਦੀ ਜਾਗਰੂਕਤਾ ਤੋਂ ਬਿਨਾਂ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਨਾ।

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਕਨੀਕੀ ਵੇਰਵਾ ਇਹ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਵਿਕਲਪਿਕ ਡੇਟਾ ਸਟ੍ਰੀਮਾਂ ਦੇ ਨਾਲ RAR ਪੁਰਾਲੇਖ ਬਣਾਏ ਜਿਨ੍ਹਾਂ ਦੇ ਨਾਵਾਂ ਵਿੱਚ ਸੰਬੰਧਿਤ ਮਾਰਗ ਸਨ। ਇਹਨਾਂ ਸਟ੍ਰੀਮਾਂ ਵਿੱਚ ਮਨਮਾਨੇ ਪੇਲੋਡ ਹੁੰਦੇ ਸਨ ਅਤੇ, ਜਦੋਂ ਪੁਰਾਲੇਖ ਤੋਂ ਸਿੱਧਾ ਕੱਢਿਆ ਜਾਂ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਸੀ, ਤਾਂ ਡਿਸਕ 'ਤੇ ਕਿਸੇ ਵੀ ਚੁਣੀ ਹੋਈ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਲਿਖਿਆ ਜਾਂਦਾ ਸੀ।

ਪੇਲੋਡ ਸਮਰੱਥਾਵਾਂ

ਪਛਾਣੇ ਗਏ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਵਿੱਚੋਂ ਇੱਕ .NET-ਅਧਾਰਿਤ ਲੋਡਰ ਹੈ ਜੋ:

• ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਪੀੜਤ ਦਾ ਕੰਪਿਊਟਰ ਨਾਮ।
• ਡਾਟਾ ਰਿਮੋਟ ਸਰਵਰ ਤੇ ਭੇਜਦਾ ਹੈ।
• ਵਾਧੂ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ .NET ਅਸੈਂਬਲੀ ਵੀ ਸ਼ਾਮਲ ਹੈ।

ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਕਥਿਤ ਤੌਰ 'ਤੇ ਇਸ ਲੋਡਰ ਨੂੰ ਸਾਕਟਾਂ ਉੱਤੇ ਇੱਕ ਰਿਵਰਸ ਸ਼ੈੱਲ ਦੇ ਨਾਲ ਜੋੜ ਕੇ ਵਰਤਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਨ੍ਹਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸਿੱਧਾ ਸੰਚਾਰ ਹੁੰਦਾ ਹੈ।

ਸਿਫ਼ਾਰਸ਼ੀ ਕਾਰਵਾਈ

WinRAR ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ CVE-2025-8088 ਅਤੇ CVE-2025-6218 ਤੋਂ ਜੋਖਮ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਤੁਰੰਤ ਵਰਜਨ 7.13 ਜਾਂ ਬਾਅਦ ਵਾਲੇ ਸੰਸਕਰਣ ਵਿੱਚ ਅੱਪਡੇਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਕੋਈ ਵੀ ਸੰਗਠਨ, ਖਾਸ ਕਰਕੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸੰਭਾਲਣ ਵਾਲੇ, ਨੂੰ ਈਮੇਲ ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਦੀ ਸਮੀਖਿਆ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਪੁਰਾਲੇਖਾਂ ਤੋਂ ਆਟੋਮੈਟਿਕ ਫਾਈਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਸ਼ੱਕੀ ਐਕਸਟਰੈਕਸ਼ਨ ਵਿਵਹਾਰ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ।