Вразливість нульового дня у WinRAR
Розробники популярної утиліти для архівування файлів WinRAR випустили термінове оновлення безпеки, щоб виправити вразливість «нульового дня», яка активно експлуатується. Уразливість, що відстежується як CVE-2025-8088 з оцінкою CVSS 8,8, являє собою помилку обходу шляху у версії WinRAR для Windows, яка дозволяє зловмисникам виконувати довільний код через спеціально створені архівні файли.
Виправлення було включено до WinRAR версії 7.13, випущеної 31 липня 2025 року. Вразливість впливає не лише на WinRAR, але й на RAR, UnRAR, UnRAR.dll та портативний вихідний код UnRAR для Windows.
Зміст
Як працює експлойт
Цей недолік виникає через те, що попередні версії WinRAR можна було обманом змусити розпакувати файли, використовуючи шкідливий шлях, вказаний всередині архіву, а не передбачуваний шлях розпакування. Цю поведінку можна використати для розміщення файлів у конфіденційних системних каталогах, таких як папка автозавантаження Windows, що призводило до автоматичного виконання коду під час наступного входу в систему.
Пов’язана з цим уразливість CVE-2025-6218, виправлена в червні 2025 року, також уможливлювала атаки з перетином каталогів. Зловмисники могли використовувати обидві вразливості разом для маніпулювання шляхами до файлів під час вилучення, запису файлів за межі визначених папок та запуску шкідливого коду, показуючи приманку-документ, щоб відвернути увагу жертви.
Активність злонамірів та посилання на даркнет
Дослідники з кібербезпеки пов'язали нещодавнє використання вразливості CVE-2025-8088 з хакерською групою Paper Werewolf (також відомою як GOFFEE). Ця група, можливо, поєднала вразливість із CVE-2025-6218 для здійснення цілеспрямованих атак.
Розслідування показало, що 7 липня 2025 року кіберзлочинець, відомий як «zeroplayer», рекламував нібито WinRAR zero-day на російськомовному форумі Exploit.in за 80 000 доларів. Підозрюється, що Paper Werewolf отримав цей експлойт і використав його як зброю в реальних атаках.
Деталі атакуючої кампанії
У липні 2025 року російські організації стали мішенню фішингових електронних листів, що містили шкідливі архіви. Коли жертви відкривали ці файли, ланцюжок експлойтів використовував обидві вразливості для:
- Записувати файли до каталогів поза межами передбачуваного шляху видобування.
- Запустити виконання коду без відома жертви.
Примітною технічною деталлю є те, що зловмисники створювали RAR-архіви з альтернативними потоками даних, імена яких містили відносні шляхи. Ці потоки містили довільне корисне навантаження та, після вилучення або відкриття безпосередньо з архіву, записувалися в будь-який вибраний каталог на диску.
Можливості корисного навантаження
Одним із виявлених шкідливих корисних навантажень є завантажувач на базі .NET, який:
- Збирає системну інформацію, таку як ім'я комп'ютера жертви.
- Надсилає дані на віддалений сервер.
- Завантажує додаткове шкідливе програмне забезпечення, зокрема зашифровану збірку .NET.
Як повідомляється, Paper Werewolf використовує цей завантажувач у поєднанні зі зворотною оболонкою через сокети, що дозволяє прямий зв'язок з їхньою інфраструктурою командування та управління.
Рекомендована дія
Користувачам WinRAR слід негайно оновити його до версії 7.13 або пізнішої, щоб усунути ризик, пов'язаний з CVE-2025-8088 та CVE-2025-6218. Будь-яка організація, особливо та, що працює з конфіденційними даними, повинна переглянути політики безпеки електронної пошти, вимкнути автоматичне виконання файлів з архівів та відстежувати підозрілу поведінку під час вилучення.
