Rabattoffert för flera licenser
Hotdatabas Sårbarhet WinRAR Zero-Day Sårbarhet

WinRAR Zero-Day Sårbarhet

Med Mezo år Sårbarhet, Skadlig programvara
Översätt till:

Utvecklarna bakom det populära filarkiveringsverktyget WinRAR har släppt en brådskande säkerhetsuppdatering för att åtgärda en nolldagarssårbarhet som aktivt utnyttjas i samhället. Felet, som spåras som CVE-2025-8088 med en CVSS-poäng på 8,8, är en sökvägsövergångsbugg i Windows-versionen av WinRAR som tillåter angripare att exekvera godtycklig kod genom specialskapade arkivfiler.

Åtgärden levererades i WinRAR version 7.13, släppt den 31 juli 2025. Sårbarheten påverkar inte bara WinRAR utan även RAR, UnRAR, UnRAR.dll och den portabla UnRAR-källkoden för Windows.

Hur utnyttjandet fungerar

Felet uppstår eftersom tidigare versioner av WinRAR kunde luras att extrahera filer med hjälp av en skadlig sökväg som angetts i arkivet istället för den avsedda extraktionssökvägen. Detta beteende kan utnyttjas för att placera filer i känsliga systemkataloger, till exempel Windows startmapp, vilket leder till automatisk kodkörning vid nästa systeminloggning.

Den relaterade sårbarheten CVE-2025-6218, som uppdaterades i juni 2025, möjliggjorde också katalogtraverseringsattacker. Hotaktörer kunde använda båda bristerna tillsammans för att manipulera filsökvägar under extrahering, skriva filer utanför angivna mappar och köra skadlig kod samtidigt som de visar ett lockbeteendedokument för att distrahera offret.

Hotaktörsaktivitet och Dark Web-länkar

Cybersäkerhetsforskare har kopplat den senaste tidens utnyttjande av CVE-2025-8088 till hackergruppen Paper Werewolf (även känd som GOFFEE). Denna grupp kan ha parat ihop felet med CVE-2025-6218 för att starta riktade attacker.

Utredningar visade att en cyberbrottsling känd som "zeroplayer" den 7 juli 2025 annonserade ett påstått WinRAR zero-day-program på det ryskspråkiga forumet Exploit.in för 80 000 dollar. Det misstänks att Paper Werewolf fick tag på detta utnyttjande och använde det som vapen i verkliga attacker.

Detaljer om attackkampanjen

I juli 2025 utsattes ryska organisationer för nätfiskemejl som innehöll skadliga arkiv. När offren öppnade dessa filer utnyttjade attackkedjan båda sårbarheterna för att:

  • Skriv filer till kataloger utanför den avsedda extraktionssökvägen.
  • Utlösa kodkörning utan offrets medvetenhet.

En anmärkningsvärd teknisk detalj är att angriparna skapade RAR-arkiv med alternativa dataströmmar vars namn innehöll relativa sökvägar. Dessa strömmar bar godtyckliga nyttolaster och, när de extraherades eller öppnades direkt från arkivet, skrevs de till valfri katalog på disken.

Nyttolastkapacitet

En av de identifierade skadliga nyttolasten är en .NET-baserad laddare som:

  • Samlar in systeminformation, till exempel offrets datornamn.
  • Skickar data till en fjärrserver.
  • Laddar ner ytterligare skadlig kod, inklusive en krypterad .NET-assembling.

Paper Werewolf använder enligt uppgift denna laddare i kombination med ett omvänt skal över sockets, vilket möjliggör direkt kommunikation med deras kommando- och kontrollinfrastruktur.

Rekommenderad åtgärd

Användare av WinRAR bör omedelbart uppdatera till version 7.13 eller senare för att eliminera risken från CVE-2025-8088 och CVE-2025-6218. Alla organisationer, särskilt de som hanterar känsliga uppgifter, bör granska e-postsäkerhetspolicyer, inaktivera automatisk filkörning från arkiv och övervaka misstänkt extraheringsbeteende.

Trendigt

Mest sedda

Läser in...