Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade Vulnerabilidade de dia zero no WinRAR

Vulnerabilidade de dia zero no WinRAR

Por Mezo em Vulnerabilidade, Malware
Traduzir Para:

Os desenvolvedores do popular utilitário de arquivamento de arquivos WinRAR lançaram uma atualização de segurança urgente para corrigir uma vulnerabilidade de dia zero explorada ativamente. Rastreada como CVE-2025-8088 com uma pontuação CVSS de 8,8, a falha é um bug de travessia de caminho na versão Windows do WinRAR que permite que invasores executem código arbitrário por meio de arquivos compactados especialmente criados.

A correção foi enviada na versão 7.13 do WinRAR, lançada em 31 de julho de 2025. A vulnerabilidade afeta não apenas o WinRAR, mas também o RAR, o UnRAR, o UnRAR.dll e o código-fonte portátil do UnRAR para Windows.

Como funciona o Exploit

A falha ocorre porque versões anteriores do WinRAR podiam ser induzidas a extrair arquivos usando um caminho malicioso especificado dentro do arquivo, em vez do caminho de extração pretendido. Esse comportamento pode ser explorado para colocar arquivos em diretórios sensíveis do sistema, como a pasta de Inicialização do Windows, levando à execução automática de código no próximo login no sistema.

A vulnerabilidade relacionada CVE-2025-6218, corrigida em junho de 2025, também permitia ataques de travessia de diretório. Os autores de ameaças podiam usar as duas falhas em conjunto para manipular caminhos de arquivos durante a extração, gravar arquivos fora de pastas designadas e executar código malicioso enquanto exibiam um documento falso para distrair a vítima.

Atividade de agentes de ameaças e links da Dark Web

Pesquisadores de segurança cibernética associaram a recente exploração da CVE-2025-8088 ao grupo de hackers Paper Werewolf (também conhecido como GOFFEE). Este grupo pode ter associado a falha à CVE2025-6218 para lançar ataques direcionados.

Investigações revelaram que, em 7 de julho de 2025, um cibercriminoso conhecido como "zeroplayer" anunciou um suposto exploit de dia zero do WinRAR no fórum russo Exploit.in por US$ 80.000. Suspeita-se que o Paper Werewolf tenha obtido esse exploit e o tenha utilizado como arma em ataques no mundo real.

Detalhes da campanha de ataque

Em julho de 2025, organizações russas foram alvos de e-mails de phishing contendo arquivos maliciosos. Quando as vítimas abriam esses arquivos, a cadeia de exploração explorava ambas as vulnerabilidades para:

  • Grave arquivos em diretórios fora do caminho de extração pretendido.
  • Acione a execução do código sem que a vítima perceba.

Um detalhe técnico notável é que os invasores criaram arquivos RAR com fluxos de dados alternativos cujos nomes continham caminhos relativos. Esses fluxos carregavam cargas arbitrárias e, quando extraídos ou abertos diretamente do arquivo, eram gravados em qualquer diretório escolhido no disco.

Capacidades de carga útil

Uma das cargas maliciosas identificadas é um carregador baseado em .NET que:

  • Coleta informações do sistema, como o nome do computador da vítima.
  • Envia os dados para um servidor remoto.
  • Baixa malware adicional, incluindo um assembly .NET criptografado.

O Paper Werewolf supostamente usa esse carregador em combinação com um shell reverso sobre soquetes, permitindo comunicação direta com sua infraestrutura de comando e controle.

Ação recomendada

Usuários do WinRAR devem atualizar imediatamente para a versão 7.13 ou posterior para eliminar o risco de CVE-2025-8088 e CVE-2025-6218. Qualquer organização, especialmente aquelas que lidam com dados confidenciais, deve revisar as políticas de segurança de e-mail, desativar a execução automática de arquivos a partir de arquivos compactados e monitorar comportamentos suspeitos de extração.

Tendendo

Mais visto

Carregando...