WinRAR జీరో-డే దుర్బలత్వం

ప్రసిద్ధ WinRAR ఫైల్ ఆర్కైవింగ్ యుటిలిటీ వెనుక ఉన్న డెవలపర్లు వైల్డ్‌లో చురుకుగా ఉపయోగించబడుతున్న జీరో-డే దుర్బలత్వాన్ని ప్యాచ్ చేయడానికి అత్యవసర భద్రతా నవీకరణను జారీ చేశారు. 8.8 CVSS స్కోరుతో CVE-2025-8088గా ట్రాక్ చేయబడిన ఈ లోపం, WinRAR యొక్క విండోస్ వెర్షన్‌లోని పాత్ ట్రావర్సల్ బగ్, ఇది దాడి చేసేవారు ప్రత్యేకంగా రూపొందించిన ఆర్కైవ్ ఫైల్‌ల ద్వారా ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది.

ఈ పరిష్కారాన్ని జూలై 31, 2025న విడుదల చేసిన WinRAR వెర్షన్ 7.13లో అందించారు. ఈ దుర్బలత్వం WinRARని మాత్రమే కాకుండా RAR, UnRAR, UnRAR.dll మరియు Windows కోసం పోర్టబుల్ UnRAR సోర్స్ కోడ్‌ను కూడా ప్రభావితం చేస్తుంది.

దోపిడీ ఎలా పనిచేస్తుంది

WinRAR యొక్క మునుపటి వెర్షన్‌లు ఉద్దేశించిన ఎక్స్‌ట్రాక్షన్ పాత్ కంటే ఆర్కైవ్ లోపల పేర్కొన్న హానికరమైన పాత్‌ను ఉపయోగించి ఫైల్‌లను ఎక్స్‌ట్రాక్ట్ చేయడానికి మోసగించబడవచ్చు కాబట్టి ఈ లోపం సంభవిస్తుంది. ఈ ప్రవర్తనను ఉపయోగించి విండోస్ స్టార్టప్ ఫోల్డర్ వంటి సున్నితమైన సిస్టమ్ డైరెక్టరీలలో ఫైల్‌లను ఉంచవచ్చు, దీని వలన తదుపరి సిస్టమ్ లాగిన్‌లో ఆటోమేటిక్ కోడ్ అమలు అవుతుంది.

జూన్ 2025లో ప్యాచ్ చేయబడిన సంబంధిత దుర్బలత్వం CVE-2025-6218, డైరెక్టరీ ట్రావర్సల్ దాడులను కూడా ప్రారంభించింది. బెదిరింపు నటులు రెండు లోపాలను కలిపి వెలికితీత సమయంలో ఫైల్ మార్గాలను మార్చవచ్చు, నియమించబడిన ఫోల్డర్‌ల వెలుపల ఫైల్‌లను వ్రాయవచ్చు మరియు బాధితుడి దృష్టి మరల్చడానికి డెకాయ్ డాక్యుమెంట్‌ను చూపిస్తూ హానికరమైన కోడ్‌ను అమలు చేయవచ్చు.

బెదిరింపు నటుడి కార్యాచరణ మరియు డార్క్ వెబ్ లింక్‌లు

సైబర్ సెక్యూరిటీ పరిశోధకులు ఇటీవల CVE-2025-8088 యొక్క దోపిడీని హ్యాకింగ్ గ్రూప్ పేపర్ వేర్‌వోల్ఫ్ (అకా GOFFEE) తో అనుసంధానించారు. లక్ష్య దాడులను ప్రారంభించడానికి ఈ గ్రూప్ CVE-2025-6218 తో లోపాన్ని జత చేసి ఉండవచ్చు.

దర్యాప్తులో తేలింది ఏమిటంటే, జూలై 7, 2025న, 'జీరోప్లేయర్' అని పిలువబడే సైబర్ నేరస్థుడు రష్యన్ భాషా ఫోరమ్ Exploit.inలో $80,000 కు WinRAR జీరో-డే గురించి ప్రచారం చేశాడు. పేపర్ వేర్‌వోల్ఫ్ ఈ దోపిడీని పొంది, వాస్తవ ప్రపంచ దాడులలో దానిని ఆయుధంగా ఉపయోగించుకున్నట్లు అనుమానిస్తున్నారు.

దాడి ప్రచార వివరాలు

జూలై 2025లో, రష్యన్ సంస్థలు హానికరమైన ఆర్కైవ్‌లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌ల ద్వారా లక్ష్యంగా చేసుకున్నాయి. బాధితులు ఈ ఫైల్‌లను తెరిచినప్పుడు, దోపిడీ గొలుసు రెండు దుర్బలత్వాలను వీటికి ఉపయోగించింది:

• ఉద్దేశించిన వెలికితీత మార్గం వెలుపల ఉన్న డైరెక్టరీలకు ఫైళ్ళను వ్రాయండి.
• బాధితుడికి తెలియకుండానే ట్రిగ్గర్ కోడ్ అమలు.

ఒక ముఖ్యమైన సాంకేతిక వివరాలు ఏమిటంటే, దాడి చేసేవారు RAR ఆర్కైవ్‌లను ప్రత్యామ్నాయ డేటా స్ట్రీమ్‌లతో సృష్టించారు, వాటి పేర్లలో సాపేక్ష మార్గాలు ఉన్నాయి. ఈ స్ట్రీమ్‌లు ఏకపక్ష పేలోడ్‌లను కలిగి ఉంటాయి మరియు ఆర్కైవ్ నుండి నేరుగా సంగ్రహించినప్పుడు లేదా తెరిచినప్పుడు, డిస్క్‌లోని ఏదైనా ఎంచుకున్న డైరెక్టరీకి వ్రాయబడతాయి.

పేలోడ్ సామర్థ్యాలు

గుర్తించబడిన హానికరమైన పేలోడ్‌లలో ఒకటి .NET-ఆధారిత లోడర్, ఇది:

• బాధితుడి కంప్యూటర్ పేరు వంటి సిస్టమ్ సమాచారాన్ని సేకరిస్తుంది.
• డేటాను రిమోట్ సర్వర్‌కు పంపుతుంది.
• ఎన్‌క్రిప్టెడ్ .NET అసెంబ్లీతో సహా అదనపు మాల్వేర్‌ను డౌన్‌లోడ్ చేస్తుంది.

పేపర్ వేర్‌వోల్ఫ్ ఈ లోడర్‌ను సాకెట్లపై రివర్స్ షెల్‌తో కలిపి ఉపయోగిస్తుందని, ఇది వారి కమాండ్-అండ్-కంట్రోల్ ఇన్‌ఫ్రాస్ట్రక్చర్‌తో ప్రత్యక్ష సంభాషణను అనుమతిస్తుంది.

సిఫార్సు చేయబడిన చర్య

CVE-2025-8088 మరియు CVE-2025-6218 నుండి వచ్చే ప్రమాదాన్ని తొలగించడానికి WinRAR వినియోగదారులు వెంటనే వెర్షన్ 7.13 లేదా తరువాత వెర్షన్‌కు అప్‌డేట్ చేయాలి. ముఖ్యంగా సున్నితమైన డేటాను నిర్వహించే ఏదైనా సంస్థ ఇమెయిల్ భద్రతా విధానాలను సమీక్షించాలి, ఆర్కైవ్‌ల నుండి ఆటోమేటిక్ ఫైల్ ఎగ్జిక్యూషన్‌ను నిలిపివేయాలి మరియు అనుమానాస్పద వెలికితీత ప్రవర్తన కోసం పర్యవేక్షించాలి.