Рањивост нултог дана у WinRAR-у
Програмери који стоје иза популарног услужног програма за архивирање датотека WinRAR издали су хитну безбедносну исправку како би закрпили рањивост „нултог дана“ која се активно искоришћава. Праћена као CVE-2025-8088 са CVSS резултатом 8,8, грешка је грешка у преласку путање у Windows верзији WinRAR-а која омогућава нападачима да извршавају произвољни код кроз посебно креиране архивске датотеке.
Исправка је испоручена у верзији 7.13 програма WinRAR, објављеној 31. јула 2025. године. Рањивост утиче не само на WinRAR већ и на RAR, UnRAR, UnRAR.dll и преносиви изворни код UnRAR-а за Windows.
Преглед садржаја
Како експлоатација функционише
До грешке долази зато што су раније верзије WinRAR-а могле бити преварене да распакују датотеке користећи злонамерну путању наведену унутар архиве уместо предвиђене путање за распакивање. Ово понашање се може искористити за смештање датотека у осетљиве системске директоријуме, као што је фолдер „Покретање система Windows“, што доводи до аутоматског извршавања кода при следећем пријављивању на систем.
Повезана рањивост CVE-2025-6218, исправљена у јуну 2025. године, такође је омогућила нападе обиласком директоријума. Претње су могле да користе обе грешке заједно да би манипулисале путањама датотека током екстракције, писале датотеке ван одређених фасцикли и покренуле злонамерни код док приказују мамац како би одвукле пажњу жртве.
Активност актера претње и линкови на тамном вебу
Истраживачи сајбер безбедности повезали су недавно искоришћавање грешке CVE-2025-8088 са хакерском групом Paper Werewolf (познатом и као GOFFEE). Ова група је можда упарила грешку са CVE-2025-6218 како би покренула циљане нападе.
Истрага је открила да је 7. јула 2025. године сајбер криминалац познат као „zeroplayer“ рекламирао наводни WinRAR zero-day на руском форуму Exploit.in за 80.000 долара. Сумња се да је Paper Werewolf добио овај експлоит и искористио га као оружје у нападима у стварном свету.
Детаљи нападачке кампање
У јулу 2025. године, руске организације су биле мета фишинг имејлова који су садржали злонамерне архиве. Када су жртве отвориле ове датотеке, ланац експлоатације је искористио обе рањивости да би:
- Уписивање датотека у директоријуме ван предвиђене путање екстракције.
- Покрените извршавање кода без свести жртве.
Значајан технички детаљ је да су нападачи креирали RAR архиве са алтернативним токовима података чија су имена садржала релативне путање. Ови токови су носили произвољне корисне податке и, када би се екстраховали или отворили директно из архиве, били би уписани у било који изабрани директоријум на диску.
Капацитети корисног терета
Један од идентификованих злонамерних корисних садржаја је .NET програм за учитавање који:
- Прикупља системске информације, као што је име рачунара жртве.
- Шаље податке на удаљени сервер.
- Преузима додатни злонамерни софтвер, укључујући шифровани .NET склоп.
Папирни Вукодлак наводно користи овај пуњач у комбинацији са обрнутом шкољком преко сокета, омогућавајући директну комуникацију са њиховом командно-контролном инфраструктуром.
Препоручена акција
Корисници WinRAR-а треба одмах да ажурирају програм на верзију 7.13 или новију како би елиминисали ризик од CVE-2025-8088 и CVE-2025-6218. Свака организација, посебно она која рукује осетљивим подацима, треба да прегледа безбедносне политике е-поште, онемогући аутоматско извршавање датотека из архива и прати сумњиво понашање приликом екстракције.
