WinRAR Zero-Day Vulnerability

Ang mga developer sa likod ng sikat na WinRAR file archiving utility ay naglabas ng isang agarang pag-update ng seguridad upang i-patch ang isang zero-day na kahinaan na aktibong pinagsamantalahan sa ligaw. Sinusubaybayan bilang CVE-2025-8088 na may marka ng CVSS na 8.8, ang kapintasan ay isang path traversal bug sa Windows na bersyon ng WinRAR na nagpapahintulot sa mga umaatake na magsagawa ng arbitrary code sa pamamagitan ng espesyal na ginawang archive na mga file.

Ang pag-aayos ay ipinadala sa WinRAR na bersyon 7.13, na inilabas noong Hulyo 31, 2025. Ang kahinaan ay nakakaapekto hindi lamang sa WinRAR kundi pati na rin sa RAR, UnRAR, UnRAR.dll, at ang portable na UnRAR source code para sa Windows.

Paano Gumagana ang Exploit

Nangyayari ang kapintasan dahil ang mga naunang bersyon ng WinRAR ay maaaring dayain sa pagkuha ng mga file gamit ang isang malisyosong landas na tinukoy sa loob ng archive sa halip na ang nilalayong landas ng pagkuha. Maaaring samantalahin ang pag-uugaling ito upang maglagay ng mga file sa mga sensitibong direktoryo ng system, tulad ng folder ng Windows Startup, na humahantong sa awtomatikong pagpapatupad ng code sa susunod na pag-login ng system.

Ang kaugnay na kahinaan na CVE-2025-6218, na na-patch noong Hunyo 2025, ay nag-enable din sa mga pag-atake sa pagdaan sa direktoryo. Maaaring gamitin ng mga banta ng aktor ang parehong mga kapintasan upang manipulahin ang mga path ng file sa panahon ng pagkuha, magsulat ng mga file sa labas ng mga itinalagang folder, at magpatakbo ng malisyosong code habang nagpapakita ng dokumentong pang-decoy upang makagambala sa biktima.

Aktibidad ng Threat Actor at Dark Web Links

Iniugnay ng mga mananaliksik sa cybersecurity ang kamakailang pagsasamantala ng CVE-2025-8088 sa pangkat ng pag-hack na Paper Werewolf (aka GOFFEE). Maaaring ipinares ng pangkat na ito ang kapintasan sa CVE-2025-6218 upang maglunsad ng mga naka-target na pag-atake.

Inihayag ng mga pagsisiyasat na noong Hulyo 7, 2025, isang cybercriminal na kilala bilang 'zeroplayer' ang nag-advertise ng di-umano'y WinRAR zero-day sa Russian-language forum na Exploit.in sa halagang $80,000. Pinaghihinalaang nakuha ng Paper Werewolf ang pagsasamantalang ito at ginamit ito sa mga pag-atake sa totoong mundo.

Mga Detalye ng Attack Campaign

Noong Hulyo 2025, na-target ang mga organisasyong Russian sa pamamagitan ng mga phishing na email na naglalaman ng mga nakakahamak na archive. Nang buksan ng mga biktima ang mga file na ito, ginamit ng exploit chain ang parehong mga kahinaan sa:

• Sumulat ng mga file sa mga direktoryo sa labas ng nilalayong landas ng pagkuha.
• Mag-trigger ng code execution nang hindi nalalaman ng biktima.

Ang isang kapansin-pansing teknikal na detalye ay ang mga umaatake ay lumikha ng mga RAR archive na may mga alternatibong stream ng data na ang mga pangalan ay naglalaman ng mga kaugnay na landas. Ang mga stream na ito ay nagdadala ng mga arbitrary na payload at, kapag kinuha o binuksan nang direkta mula sa archive, ay isinulat sa anumang napiling direktoryo sa disk.

Mga Kakayahang Payload

Ang isa sa mga natukoy na malisyosong payload ay isang .NET-based loader na:

• Nangongolekta ng impormasyon ng system, tulad ng pangalan ng computer ng biktima.
• Nagpapadala ng data sa isang malayuang server.
• Nagda-download ng karagdagang malware, kabilang ang isang naka-encrypt na .NET assembly.

Iniulat na ginagamit ng Paper Werewolf ang loader na ito kasama ng isang reverse shell sa mga socket, na nagbibigay-daan sa direktang komunikasyon sa kanilang command-and-control infrastructure.

Inirerekomendang Pagkilos

Ang mga gumagamit ng WinRAR ay dapat na agad na mag-update sa bersyon 7.13 o mas bago upang maalis ang panganib mula sa CVE-2025-8088 at CVE-2025-6218. Anumang organisasyon, lalo na ang mga humahawak ng sensitibong data, ay dapat suriin ang mga patakaran sa seguridad ng email, i-disable ang awtomatikong pagpapatupad ng file mula sa mga archive, at subaybayan ang kahina-hinalang pag-uugali ng pagkuha.