ช่องโหว่ Zero-Day ของ WinRAR

นักพัฒนาซอฟต์แวร์ที่อยู่เบื้องหลังโปรแกรมยูทิลิตี้เก็บไฟล์ WinRAR ยอดนิยม ได้ออกการอัปเดตด้านความปลอดภัยอย่างเร่งด่วนเพื่อแก้ไขช่องโหว่แบบ Zero-day ที่ถูกโจมตีอย่างต่อเนื่อง ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2025-8088 ซึ่งมีคะแนน CVSS อยู่ที่ 8.8 โดยเป็นช่องโหว่ Path Traversal ใน WinRAR เวอร์ชัน Windows ที่ทำให้ผู้โจมตีสามารถรันโค้ดโดยพลการผ่านไฟล์เก็บถาวรที่สร้างขึ้นเป็นพิเศษได้

การแก้ไขนี้มาพร้อมกับ WinRAR เวอร์ชัน 7.13 ซึ่งเปิดตัวเมื่อวันที่ 31 กรกฎาคม 2025 ช่องโหว่นี้ไม่เพียงแต่ส่งผลกระทบต่อ WinRAR เท่านั้น แต่ยังส่งผลกระทบต่อ RAR, UnRAR, UnRAR.dll และโค้ดต้นฉบับ UnRAR แบบพกพาสำหรับ Windows อีกด้วย

การใช้ประโยชน์ทำงานอย่างไร

ข้อบกพร่องนี้เกิดขึ้นเนื่องจาก WinRAR เวอร์ชันก่อนหน้าอาจถูกหลอกให้แตกไฟล์โดยใช้เส้นทางอันตรายที่ระบุไว้ในไฟล์เก็บถาวร แทนที่จะใช้เส้นทางที่ต้องการแตกไฟล์ พฤติกรรมนี้สามารถถูกนำไปใช้เพื่อวางไฟล์ไว้ในไดเรกทอรีระบบที่สำคัญ เช่น โฟลเดอร์เริ่มต้นระบบของ Windows ซึ่งนำไปสู่การรันโค้ดโดยอัตโนมัติเมื่อเข้าสู่ระบบในครั้งต่อไป

ช่องโหว่ที่เกี่ยวข้อง CVE-2025-6218 ซึ่งได้รับการแก้ไขในเดือนมิถุนายน 2568 ยังทำให้เกิดการโจมตีแบบ Directory Traversal อีกด้วย ผู้ก่อภัยคุกคามสามารถใช้ช่องโหว่ทั้งสองร่วมกันเพื่อจัดการเส้นทางของไฟล์ระหว่างการแตกไฟล์ เขียนไฟล์ออกนอกโฟลเดอร์ที่กำหนด และรันโค้ดอันตรายพร้อมกับแสดงเอกสารหลอกลวงเพื่อเบี่ยงเบนความสนใจของเหยื่อ

กิจกรรมของผู้ก่อภัยคุกคามและลิงก์เว็บมืด

นักวิจัยด้านความปลอดภัยไซเบอร์ได้เชื่อมโยงช่องโหว่ CVE-2025-8088 ที่เพิ่งถูกโจมตีเข้ากับกลุ่มแฮกเกอร์ Paper Werewolf (หรือที่รู้จักกันในชื่อ GOFFEE) โดยกลุ่มนี้อาจจับคู่ช่องโหว่นี้กับ CVE-2025-6218 เพื่อโจมตีแบบเจาะจงเป้าหมาย

จากการสืบสวนพบว่าเมื่อวันที่ 7 กรกฎาคม 2568 อาชญากรไซเบอร์ที่รู้จักกันในชื่อ 'zeroplayer' ได้โฆษณา WinRAR zero-day ที่ถูกกล่าวหาว่าใช้ช่องโหว่นี้บน Exploit.in ฟอรัมภาษารัสเซีย ในราคา 80,000 ดอลลาร์สหรัฐฯ คาดว่า Paper Werewolf จะได้รับช่องโหว่นี้และนำไปใช้เป็นอาวุธในการโจมตีจริง

รายละเอียดแคมเปญโจมตี

ในเดือนกรกฎาคม พ.ศ. 2568 องค์กรในรัสเซียตกเป็นเป้าหมายผ่านอีเมลฟิชชิ่งที่มีไฟล์เก็บถาวรที่เป็นอันตราย เมื่อเหยื่อเปิดไฟล์เหล่านี้ ห่วงโซ่การโจมตีจะใช้ประโยชน์จากช่องโหว่ทั้งสองเพื่อ:

• เขียนไฟล์ไปยังไดเร็กทอรีนอกเส้นทางการแยกข้อมูลที่ตั้งใจไว้
• ทริกเกอร์การทำงานของโค้ดโดยที่เหยื่อไม่รู้ตัว

รายละเอียดทางเทคนิคที่น่าสังเกตคือ ผู้โจมตีได้สร้างไฟล์เก็บถาวร RAR ที่มีสตรีมข้อมูลทางเลือก ซึ่งชื่อไฟล์มีเส้นทางสัมพัทธ์ สตรีมเหล่านี้บรรจุเพย์โหลดตามอำเภอใจ และเมื่อแยกหรือเปิดจากไฟล์เก็บถาวรโดยตรง ก็จะถูกเขียนลงในไดเร็กทอรีใดก็ได้ที่เลือกไว้บนดิสก์

ความสามารถในการบรรทุก

หนึ่งในเพย์โหลดที่เป็นอันตรายที่ระบุได้คือโหลดเดอร์ที่ใช้ .NET ซึ่ง:

• รวบรวมข้อมูลระบบ เช่น ชื่อคอมพิวเตอร์ของเหยื่อ
• ส่งข้อมูลไปยังเซิร์ฟเวอร์ระยะไกล
• ดาวน์โหลดมัลแวร์เพิ่มเติม รวมถึงแอสเซมบลี .NET ที่เข้ารหัส

มีรายงานว่า Paper Werewolf ใช้โหลดเดอร์นี้ร่วมกับเชลล์แบบย้อนกลับบนซ็อกเก็ต ซึ่งช่วยให้สามารถสื่อสารกับโครงสร้างพื้นฐานการสั่งการและควบคุมได้โดยตรง

การดำเนินการที่แนะนำ

ผู้ใช้ WinRAR ควรอัปเดตเป็นเวอร์ชัน 7.13 หรือใหม่กว่าทันทีเพื่อกำจัดความเสี่ยงจาก CVE-2025-8088 และ CVE-2025-6218 องค์กรใดๆ โดยเฉพาะองค์กรที่จัดการข้อมูลสำคัญ ควรตรวจสอบนโยบายความปลอดภัยของอีเมล ปิดใช้งานการเรียกใช้ไฟล์อัตโนมัติจากไฟล์เก็บถาวร และเฝ้าระวังพฤติกรรมการแตกไฟล์ที่น่าสงสัย