Zraniteľnosť WinRARu typu zero-day
Vývojári stojaci za populárnym nástrojom na archiváciu súborov WinRAR vydali urgentnú bezpečnostnú aktualizáciu, ktorá opravuje zraniteľnosť typu zero-day, ktorá je aktívne zneužívaná. Chyba, ktorá je sledovaná ako CVE-2025-8088 so skóre CVSS 8,8, je chybou prechodu cesty vo verzii WinRAR pre Windows, ktorá umožňuje útočníkom spúšťať ľubovoľný kód prostredníctvom špeciálne vytvorených archívnych súborov.
Oprava bola súčasťou WinRAR verzie 7.13, vydanej 31. júla 2025. Zraniteľnosť sa týka nielen WinRAR, ale aj RAR, UnRAR, UnRAR.dll a prenosného zdrojového kódu UnRAR pre Windows.
Obsah
Ako funguje zneužitie
K tejto chybe dochádza, pretože staršie verzie WinRARu mohli byť oklamané a extrahovať súbory pomocou škodlivej cesty zadanej v archíve, a nie pomocou zamýšľanej cesty extrakcie. Toto správanie sa dá zneužiť na umiestnenie súborov do citlivých systémových adresárov, ako je napríklad priečinok Po spustení systému Windows, čo vedie k automatickému spusteniu kódu pri ďalšom prihlásení do systému.
Súvisiaca zraniteľnosť CVE-2025-6218, opravená v júni 2025, tiež umožňovala útoky typu directory traversal. Útočníci mohli obe chyby spoločne využiť na manipuláciu s cestami k súborom počas extrakcie, zapisovať súbory mimo určených priečinkov a spúšťať škodlivý kód a zároveň zobrazovať návnadový dokument, aby odviedli pozornosť obete.
Aktivita aktérov hrozby a odkazy na dark web
Výskumníci v oblasti kybernetickej bezpečnosti spojili nedávne zneužitie chyby CVE-2025-8088 s hackerskou skupinou Paper Werewolf (známou aj ako GOFFEE). Táto skupina mohla spárovať chybu s chybou CVE-2025-6218 na spustenie cielených útokov.
Vyšetrovanie odhalilo, že 7. júla 2025 kyberzločinec známy ako „zeroplayer“ inzeroval údajný zero-day exploit pre WinRAR na ruskojazyčnom fóre Exploit.in za 80 000 dolárov. Existuje podozrenie, že Paper Werewolf získal tento exploit a využil ho ako zbraň pri útokoch v reálnom svete.
Detaily útočnej kampane
V júli 2025 sa ruské organizácie stali terčom phishingových e-mailov obsahujúcich škodlivé archívy. Keď obete otvorili tieto súbory, reťazec exploitov využil obe zraniteľnosti na:
- Zapisovať súbory do adresárov mimo zamýšľanej cesty extrakcie.
- Spustiť vykonávanie kódu bez vedomia obete.
Pozoruhodným technickým detailom je, že útočníci vytvorili RAR archívy s alternatívnymi dátovými streammi, ktorých názvy obsahovali relatívne cesty. Tieto streamy niesli ľubovoľné užitočné zaťaženie a po extrahovaní alebo otvorení priamo z archívu sa zapisovali do ľubovoľného zvoleného adresára na disku.
Užitočné zaťaženie
Jedným z identifikovaných škodlivých dátových súborov je zavádzací program založený na .NET, ktorý:
- Zhromažďuje systémové informácie, ako napríklad názov počítača obete.
- Odošle údaje na vzdialený server.
- Sťahuje ďalší malvér vrátane šifrovanej zostavy .NET.
Paper Werewolf údajne používa tento nakladač v kombinácii s reverzným shellom cez sockety, čo umožňuje priamu komunikáciu s ich infraštruktúrou velenia a riadenia.
Odporúčaná akcia
Používatelia WinRARu by mali okamžite aktualizovať na verziu 7.13 alebo novšiu, aby sa eliminovalo riziko vyplývajúce z chronologických chýb CVE-2025-8088 a CVE-2025-6218. Každá organizácia, najmä tá, ktorá pracuje s citlivými údajmi, by si mala skontrolovať zásady zabezpečenia e-mailov, vypnúť automatické spúšťanie súborov z archívov a monitorovať podozrivé správanie pri extrakcii.
