Vulnerabilitate WinRAR Zero-Day

Dezvoltatorii din spatele popularului utilitar de arhivare a fișierelor WinRAR au lansat o actualizare de securitate urgentă pentru a remedia o vulnerabilitate zero-day exploatată activ în mediul online. Identificată ca CVE-2025-8088 cu un scor CVSS de 8,8, defectul este o eroare de traversare a traseului (path traversal bug) în versiunea pentru Windows a WinRAR, care permite atacatorilor să execute cod arbitrar prin fișiere de arhivă special create.

Corecția a fost inclusă în WinRAR versiunea 7.13, lansată pe 31 iulie 2025. Vulnerabilitatea afectează nu numai WinRAR, ci și RAR, UnRAR, UnRAR.dll și codul sursă portabil UnRAR pentru Windows.

Cum funcționează exploit-ul

Defectul apare deoarece versiunile anterioare de WinRAR puteau fi păcălite să extragă fișiere folosind o cale malițioasă specificată în interiorul arhivei, în loc de calea de extragere intenționată. Acest comportament poate fi exploatat pentru a plasa fișiere în directoare de sistem sensibile, cum ar fi folderul Startup Windows, ceea ce duce la executarea automată de cod la următoarea conectare la sistem.

Vulnerabilitatea conexă CVE-2025-6218, actualizată în iunie 2025, a permis, de asemenea, atacuri de traversare a directoarelor. Actorii amenințători puteau folosi ambele defecte împreună pentru a manipula căile fișierelor în timpul extragerii, a scrie fișiere în afara folderelor desemnate și a rula cod rău intenționat, afișând în același timp un document capcană pentru a distrage atenția victimei.

Activitatea actorilor amenințători și linkurile Dark Web

Cercetătorii în domeniul securității cibernetice au asociat recenta exploatare a vulnerabilității CVE-2025-8088 cu grupul de hackeri Paper Werewolf (cunoscut și sub numele de GOFFEE). Este posibil ca acest grup să fi asociat vulnerabilitatea cu CVE-2025-6218 pentru a lansa atacuri direcționate.

Investigațiile au dezvăluit că, pe 7 iulie 2025, un infractor cibernetic cunoscut sub numele de „zeroplayer” a promovat o presupusă vulnerabilitate zero-day pentru WinRAR pe forumul în limba rusă Exploit.in pentru 80.000 de dolari. Se suspectează că Paper Werewolf a obținut această vulnerabilitate și a folosit-o ca armă în atacuri din lumea reală.

Detalii despre campania de atac

În iulie 2025, organizațiile rusești au fost vizate prin e-mailuri de phishing care conțineau arhive malițioase. Când victimele deschideau aceste fișiere, lanțul de exploit-uri utiliza ambele vulnerabilități pentru a:

• Scrie fișiere în directoare în afara căii de extragere intenționate.
• Declanșează execuția codului fără conștientizarea victimei.

Un detaliu tehnic notabil este faptul că atacatorii au creat arhive RAR cu fluxuri de date alternative ale căror nume conțineau căi relative. Aceste fluxuri transportau sarcini utile arbitrare și, atunci când erau extrase sau deschise direct din arhivă, erau scrise în orice director ales de pe disc.

Capacități de sarcină utilă

Una dintre sarcinile utile malițioase identificate este un încărcător bazat pe .NET care:

• Colectează informații despre sistem, cum ar fi numele computerului victimei.
• Trimite datele către un server la distanță.
• Descarcă programe malware suplimentare, inclusiv un ansamblu .NET criptat.

Se pare că Paper Werewolf folosește acest încărcător în combinație cu o carcasă inversă peste socketuri, permițând comunicarea directă cu infrastructura lor de comandă și control.

Acțiune recomandată

Utilizatorii WinRAR ar trebui să actualizeze imediat la versiunea 7.13 sau o versiune ulterioară pentru a elimina riscul reprezentat de erorile CVE-2025-8088 și CVE-2025-6218. Orice organizație, în special cele care gestionează date sensibile, ar trebui să revizuiască politicile de securitate a e-mailurilor, să dezactiveze executarea automată a fișierelor din arhive și să monitorizeze comportamentele suspecte de extragere.