Уязвимость нулевого дня WinRAR
Разработчики популярного архиватора WinRAR выпустили срочное обновление безопасности, закрывающее уязвимость нулевого дня, активно эксплуатируемую в сети. Уязвимость, известная как CVE-2025-8088 с рейтингом CVSS 8,8, представляет собой ошибку обхода пути в версии WinRAR для Windows, которая позволяет злоумышленникам выполнять произвольный код через специально созданные архивные файлы.
Исправление было включено в версию WinRAR 7.13, выпущенную 31 июля 2025 года. Уязвимость затрагивает не только WinRAR, но и RAR, UnRAR, UnRAR.dll и переносимый исходный код UnRAR для Windows.
Оглавление
Как работает эксплойт
Уязвимость возникает из-за того, что более ранние версии WinRAR могли быть обманным путём заставить извлекать файлы, используя вредоносный путь, указанный внутри архива, вместо предполагаемого. Злоумышленник может поместить файлы в конфиденциальные системные каталоги, например, в папку автозагрузки Windows, что приведёт к автоматическому выполнению кода при следующем входе в систему.
Связанная с этим уязвимость CVE-2025-6218, исправленная в июне 2025 года, также позволяла проводить атаки с обходом каталогов. Злоумышленники могли использовать обе уязвимости одновременно для манипулирования путями к файлам во время извлечения, записи файлов за пределами указанных папок и запуска вредоносного кода, одновременно показывая обманный документ для отвлечения жертвы.
Активность злоумышленников и ссылки в даркнете
Исследователи кибербезопасности связали недавнюю эксплуатацию уязвимости CVE-2025-8088 с хакерской группой Paper Werewolf (также известной как GOFFEE). Эта группа могла использовать уязвимость вместе с CVE-2025-6218 для проведения целевых атак.
Расследование показало, что 7 июля 2025 года киберпреступник, известный как «zeroplayer», разместил на русскоязычном форуме Exploit.in объявление об уязвимости нулевого дня для WinRAR с предложением 80 000 долларов. Предполагается, что группа Paper Werewolf получила эту уязвимость и использовала её в реальных атаках.
Подробности кампании атаки
В июле 2025 года российские организации подверглись атаке с помощью фишинговых писем, содержащих вредоносные архивы. Когда жертвы открывали эти файлы, цепочка эксплойтов использовала обе уязвимости для:
- Записывайте файлы в каталоги за пределами предполагаемого пути извлечения.
- Выполнение кода без ведома жертвы.
Примечательная техническая деталь заключается в том, что злоумышленники создавали архивы RAR с альтернативными потоками данных, имена которых содержали относительные пути. Эти потоки содержали произвольную полезную нагрузку и при извлечении или непосредственном открытии из архива записывались в любой выбранный каталог на диске.
Возможности полезной нагрузки
Одной из выявленных вредоносных полезных нагрузок является загрузчик на базе .NET, который:
- Собирает системную информацию, такую как имя компьютера жертвы.
- Отправляет данные на удаленный сервер.
- Загружает дополнительное вредоносное ПО, включая зашифрованную сборку .NET.
Сообщается, что Paper Werewolf использует этот загрузчик в сочетании с обратной оболочкой через сокеты, что позволяет осуществлять прямую связь со своей инфраструктурой управления и контроля.
Рекомендуемые действия
Пользователям WinRAR следует немедленно обновить его до версии 7.13 или более поздней, чтобы устранить риск, связанный с уязвимостями CVE-2025-8088 и CVE-2025-6218. Любая организация, особенно работающая с конфиденциальными данными, должна пересмотреть политики безопасности электронной почты, отключить автоматическое выполнение файлов из архивов и отслеживать подозрительное извлечение данных.
