Ranljivost ničelnega dne v programu WinRAR
Razvijalci priljubljenega orodja za arhiviranje datotek WinRAR so izdali nujno varnostno posodobitev, s katero so odpravili ranljivost ničelnega dne, ki se pogosto izkorišča. Napaka, označena kot CVE-2025-8088 z oceno CVSS 8,8, je napaka prečkanja poti v različici programa WinRAR za Windows, ki napadalcem omogoča izvajanje poljubne kode prek posebej izdelanih arhivskih datotek.
Popravek je bil dobavljen v različici WinRAR 7.13, izdani 31. julija 2025. Ranljivost ne vpliva le na WinRAR, temveč tudi na RAR, UnRAR, UnRAR.dll in prenosno izvorno kodo UnRAR za Windows.
Kazalo
Kako deluje izkoriščanje
Do napake pride, ker je bilo mogoče starejše različice programa WinRAR pretentati, da so datoteke ekstrahirale z zlonamerno potjo, določeno znotraj arhiva, namesto z načrtovano potjo ekstrakcije. To vedenje je mogoče izkoristiti za namestitev datotek v občutljive sistemske imenike, kot je mapa zagona sistema Windows, kar vodi do samodejnega izvajanja kode ob naslednji prijavi v sistem.
Povezana ranljivost CVE-2025-6218, ki je bila popravljena junija 2025, je prav tako omogočala napade s prečkanjem imenikov. Grožnje so lahko obe pomanjkljivosti uporabile skupaj za manipulacijo poti datotek med ekstrakcijo, pisanje datotek zunaj določenih map in izvajanje zlonamerne kode med prikazovanjem vabljivega dokumenta, da bi žrtev zmotile.
Dejavnost akterjev grožnje in povezave na temnem spletu
Raziskovalci kibernetske varnosti so nedavno izkoriščanje napake CVE-2025-8088 povezali s hekersko skupino Paper Werewolf (znano tudi kot GOFFEE). Ta skupina je morda povezala napako s CVE-2025-6218 za izvajanje ciljno usmerjenih napadov.
Preiskave so razkrile, da je 7. julija 2025 kibernetski kriminalec, znan kot »zeroplayer«, na rusko govorečem forumu Exploit.in oglaševal domnevno zero-day različico programa WinRAR za 80.000 dolarjev. Sumi se, da je Paper Werewolf pridobil to različico in jo uporabil kot orožje v napadih v resničnem svetu.
Podrobnosti napadalne kampanje
Julija 2025 so bile ruske organizacije tarča lažnih e-poštnih sporočil, ki so vsebovala zlonamerne arhive. Ko so žrtve odprle te datoteke, je veriga izkoriščanja izkoristila obe ranljivosti za:
- Zapišite datoteke v imenike zunaj predvidene poti ekstrakcije.
- Sproži izvajanje kode brez zavedanja žrtve.
Pomembna tehnična podrobnost je, da so napadalci ustvarili arhive RAR z alternativnimi podatkovnimi tokovi, katerih imena so vsebovala relativne poti. Ti tokovi so nosili poljubne koristne tokove in so bili, ko so bili ekstrahirani ali odprti neposredno iz arhiva, zapisani v kateri koli izbrani imenik na disku.
Zmogljivosti koristnega tovora
Eden od identificiranih zlonamernih koristnih tovorov je nalagalnik, ki temelji na .NET-u in ki:
- Zbira sistemske podatke, kot je ime računalnika žrtve.
- Pošlje podatke na oddaljeni strežnik.
- Prenese dodatno zlonamerno programsko opremo, vključno s šifrirano zbirko .NET.
Paper Werewolf naj bi uporabljal ta nalagalnik v kombinaciji z obrnjeno lupino preko vtičnic, kar omogoča neposredno komunikacijo z njihovo infrastrukturo za poveljevanje in nadzor.
Priporočeno dejanje
Uporabniki programa WinRAR naj takoj posodobijo program na različico 7.13 ali novejšo, da odpravijo tveganje zaradi CVE-2025-8088 in CVE-2025-6218. Vsaka organizacija, zlasti tista, ki obravnava občutljive podatke, bi morala pregledati varnostne pravilnike za e-pošto, onemogočiti samodejno izvajanje datotek iz arhivov in spremljati sumljivo vedenje pri ekstrahiranju.
