WinRAR Zero-Day Güvenlik Açığı
Popüler WinRAR dosya arşivleme aracının geliştiricileri, yaygın olarak kullanılan bir sıfırıncı gün açığını kapatmak için acil bir güvenlik güncellemesi yayınladı. 8,8 CVSS puanına sahip CVE-2025-8088 olarak izlenen bu güvenlik açığı, WinRAR'ın Windows sürümünde bulunan ve saldırganların özel olarak hazırlanmış arşiv dosyaları aracılığıyla rastgele kod yürütmesine olanak tanıyan bir yol geçiş hatasıdır.
Düzeltme, 31 Temmuz 2025'te yayınlanan WinRAR 7.13 sürümünde yayınlandı. Güvenlik açığı yalnızca WinRAR'ı değil, aynı zamanda RAR, UnRAR, UnRAR.dll ve Windows için taşınabilir UnRAR kaynak kodunu da etkiliyor.
İçindekiler
Exploit Nasıl Çalışır?
Bu kusur, WinRAR'ın önceki sürümlerinin, dosyaları arşiv içinde belirtilen kötü amaçlı bir yol yerine, amaçlanan çıkarma yolunu kullanarak çıkarmaya kandırılabilmesinden kaynaklanmaktadır. Bu davranış, dosyaları Windows Başlangıç klasörü gibi hassas sistem dizinlerine yerleştirmek için kullanılabilir ve bu da bir sonraki sistem oturum açma işleminde otomatik kod yürütülmesine yol açabilir.
Haziran 2025'te yamalanan ilgili CVE-2025-6218 güvenlik açığı da dizin geçiş saldırılarına olanak sağlıyordu. Tehdit aktörleri, çıkarma sırasında dosya yollarını değiştirmek, dosyaları belirlenen klasörlerin dışına yazmak ve kurbanın dikkatini dağıtmak için sahte bir belge gösterirken kötü amaçlı kod çalıştırmak için her iki açığı birlikte kullanabilirdi.
Tehdit Aktörünün Etkinliği ve Karanlık Web Bağlantıları
Siber güvenlik araştırmacıları, CVE-2025-8088 açığının yakın zamanda istismar edilmesini Paper Werewolf (diğer adıyla GOFFEE) adlı bilgisayar korsanlığı grubuyla ilişkilendirdi. Bu grup, hedefli saldırılar başlatmak için açığı CVE-2025-6218 ile eşleştirmiş olabilir.
Yapılan araştırmalar, 7 Temmuz 2025'te 'zeroplayer' olarak bilinen bir siber suçlunun, Rusça forum Exploit.in'de iddia edilen bir WinRAR sıfır günlük dosyasını 80.000 dolara reklam ettiğini ortaya çıkardı. Paper Werewolf'un bu açığı elde edip gerçek dünyadaki saldırılarda kullandığından şüpheleniliyor.
Saldırı Kampanyası Ayrıntıları
Temmuz 2025'te, Rus kuruluşları kötü amaçlı arşivler içeren kimlik avı e-postalarıyla hedef alındı. Kurbanlar bu dosyaları açtığında, istismar zinciri her iki güvenlik açığını da kullanarak şunları yaptı:
- Dosyaları, amaçlanan çıkarma yolunun dışındaki dizinlere yazın.
- Kurbanın haberi olmadan kod çalıştırmayı tetikleyin.
Dikkat çekici bir teknik ayrıntı, saldırganların, isimleri göreceli yollar içeren alternatif veri akışlarıyla RAR arşivleri oluşturmasıdır. Bu akışlar, keyfi yükler taşıyordu ve arşivden çıkarıldığında veya doğrudan açıldığında, diskteki herhangi bir dizine yazılıyordu.
Yük Kapasiteleri
Tespit edilen kötü amaçlı yüklerden biri, şu özelliklere sahip .NET tabanlı bir yükleyicidir:
- Kurbanın bilgisayar adı gibi sistem bilgilerini toplar.
- Verileri uzak bir sunucuya gönderir.
- Şifrelenmiş .NET derlemesi de dahil olmak üzere ek kötü amaçlı yazılımları indirir.
Paper Werewolf'un bu yükleyiciyi soketler üzerinde ters bir kabukla birlikte kullandığı ve bu sayede komuta ve kontrol altyapısıyla doğrudan iletişim kurduğu bildiriliyor.
Önerilen Eylem
WinRAR kullanıcıları, CVE-2025-8088 ve CVE-2025-6218 risklerini ortadan kaldırmak için derhal 7.13 veya sonraki bir sürüme güncelleme yapmalıdır. Özellikle hassas verilerle ilgilenen tüm kuruluşlar, e-posta güvenlik politikalarını gözden geçirmeli, arşivlerden otomatik dosya yürütmeyi devre dışı bırakmalı ve şüpheli ayıklama davranışlarını izlemelidir.
