Luka zero-day w WinRAR
Twórcy popularnego narzędzia do archiwizacji plików WinRAR wydali pilną aktualizację zabezpieczeń, aby załatać lukę typu zero-day, aktywnie wykorzystywaną w sieci. Luka, oznaczona numerem CVE-2025-8088 i oceniona w CVSS na poziomie 8,8, to błąd polegający na przechodzeniu przez ścieżkę w wersji WinRAR dla systemu Windows, który umożliwia atakującym wykonanie dowolnego kodu za pośrednictwem specjalnie spreparowanych plików archiwum.
Poprawka została udostępniona w wersji 7.13 programu WinRAR, wydanej 31 lipca 2025 r. Luka dotyczy nie tylko programu WinRAR, ale także plików RAR, UnRAR, UnRAR.dll i przenośnego kodu źródłowego UnRAR dla systemu Windows.
Spis treści
Jak działa exploit
Luka występuje, ponieważ wcześniejsze wersje WinRAR-a mogły zostać oszukane i wypakować pliki przy użyciu złośliwej ścieżki określonej w archiwum, a nie docelowej ścieżki. Takie zachowanie może zostać wykorzystane do umieszczenia plików w wrażliwych katalogach systemowych, takich jak folder startowy systemu Windows, co prowadzi do automatycznego wykonania kodu przy następnym logowaniu do systemu.
Powiązana z tym luka CVE-2025-6218, załatana w czerwcu 2025 roku, umożliwiała również ataki typu directory traversal. Atakujący mogli wykorzystać obie luki jednocześnie, aby manipulować ścieżkami plików podczas ekstrakcji, zapisywać pliki poza wyznaczonymi folderami i uruchamiać złośliwy kod, pokazując jednocześnie fałszywy dokument w celu odwrócenia uwagi ofiary.
Aktywność aktorów zagrożeń i linki do Dark Web
Badacze cyberbezpieczeństwa powiązali niedawne wykorzystanie luki CVE-2025-8088 z grupą hakerską Paper Werewolf (znaną również jako GOFFEE). Grupa ta mogła połączyć lukę z luką CVE-2025-6218, aby przeprowadzić ataki ukierunkowane.
Śledztwo ujawniło, że 7 lipca 2025 roku cyberprzestępca znany jako „zeroplayer” reklamował na rosyjskojęzycznym forum Exploit.in rzekomą lukę zero-day dla WinRAR za 80 000 dolarów. Podejrzewa się, że Paper Werewolf uzyskał dostęp do tego exploita i wykorzystał go w atakach w świecie rzeczywistym.
Szczegóły kampanii ataku
W lipcu 2025 roku rosyjskie organizacje padły ofiarą ataków e-maili phishingowych zawierających złośliwe archiwa. Po otwarciu tych plików, łańcuch ataków wykorzystał obie luki w celu:
- Zapisywanie plików w katalogach znajdujących się poza docelową ścieżką rozpakowania.
- Uruchomienie kodu bez wiedzy ofiary.
Istotnym szczegółem technicznym jest to, że atakujący tworzyli archiwa RAR z alternatywnymi strumieniami danych, których nazwy zawierały ścieżki względne. Strumienie te zawierały dowolne dane i po wypakowaniu lub otwarciu bezpośrednio z archiwum, były zapisywane w dowolnym wybranym katalogu na dysku.
Możliwości ładunku
Jednym ze zidentyfikowanych złośliwych ładunków jest ładowarka oparta na platformie .NET, która:
- Gromadzi informacje systemowe, takie jak nazwa komputera ofiary.
- Wysyła dane do zdalnego serwera.
- Pobiera dodatkowe złośliwe oprogramowanie, w tym zaszyfrowany pakiet .NET.
Według doniesień Paper Werewolf wykorzystuje tę ładowarkę w połączeniu z odwróconą powłoką na gniazdach, co umożliwia bezpośrednią komunikację z infrastrukturą dowodzenia i kontroli.
Zalecane działanie
Użytkownicy WinRAR-a powinni natychmiast zaktualizować go do wersji 7.13 lub nowszej, aby wyeliminować ryzyko związane z lukami CVE-2025-8088 i CVE-2025-6218. Każda organizacja, a zwłaszcza ta, która przetwarza poufne dane, powinna zapoznać się z polityką bezpieczeństwa poczty e-mail, wyłączyć automatyczne uruchamianie plików z archiwów i monitorować pod kątem podejrzanych zachowań związanych z ekstrakcją.
