Lỗ hổng Zero-Day của WinRAR
Các nhà phát triển đằng sau tiện ích lưu trữ tệp WinRAR phổ biến đã phát hành bản cập nhật bảo mật khẩn cấp để vá một lỗ hổng zero-day đang bị khai thác rộng rãi. Được theo dõi với mã hiệu CVE-2025-8088 với điểm CVSS là 8,8, lỗ hổng này là một lỗi duyệt đường dẫn trong phiên bản WinRAR dành cho Windows, cho phép kẻ tấn công thực thi mã tùy ý thông qua các tệp lưu trữ được thiết kế đặc biệt.
Bản sửa lỗi đã được đưa vào WinRAR phiên bản 7.13, phát hành vào ngày 31 tháng 7 năm 2025. Lỗ hổng bảo mật không chỉ ảnh hưởng đến WinRAR mà còn cả RAR, UnRAR, UnRAR.dll và mã nguồn UnRAR di động cho Windows.
Mục lục
Cách thức hoạt động của Exploit
Lỗ hổng này xảy ra do các phiên bản WinRAR trước đó có thể bị lừa giải nén tệp bằng đường dẫn độc hại được chỉ định bên trong tệp nén thay vì đường dẫn giải nén dự định. Hành vi này có thể bị khai thác để đặt tệp vào các thư mục hệ thống nhạy cảm, chẳng hạn như thư mục Khởi động Windows, dẫn đến việc thực thi mã tự động khi đăng nhập hệ thống lần sau.
Lỗ hổng liên quan CVE-2025-6218, được vá vào tháng 6 năm 2025, cũng cho phép tấn công duyệt thư mục. Kẻ tấn công có thể lợi dụng cả hai lỗ hổng này để thao túng đường dẫn tệp trong quá trình trích xuất, ghi tệp ra ngoài các thư mục được chỉ định và chạy mã độc trong khi hiển thị tài liệu giả để đánh lạc hướng nạn nhân.
Hoạt động của tác nhân đe dọa và liên kết Dark Web
Các nhà nghiên cứu an ninh mạng đã liên kết vụ khai thác lỗ hổng CVE-2025-8088 gần đây với nhóm tin tặc Paper Werewolf (hay còn gọi là GOFFEE). Nhóm này có thể đã kết hợp lỗ hổng này với CVE-2025-6218 để thực hiện các cuộc tấn công có chủ đích.
Các cuộc điều tra cho thấy vào ngày 7 tháng 7 năm 2025, một tội phạm mạng được biết đến với biệt danh 'zeroplayer' đã rao bán một lỗ hổng zero-day được cho là của WinRAR trên diễn đàn Exploit.in bằng tiếng Nga với giá 80.000 đô la. Paper Werewolf bị nghi ngờ đã khai thác lỗ hổng này và sử dụng nó trong các cuộc tấn công thực tế.
Chi tiết chiến dịch tấn công
Vào tháng 7 năm 2025, các tổ chức Nga đã bị nhắm mục tiêu thông qua email lừa đảo chứa các tệp tin độc hại. Khi nạn nhân mở các tệp này, chuỗi khai thác đã lợi dụng cả hai lỗ hổng để:
- Ghi tệp vào thư mục bên ngoài đường dẫn trích xuất dự định.
- Kích hoạt thực thi mã mà nạn nhân không hề hay biết.
Một chi tiết kỹ thuật đáng chú ý là kẻ tấn công đã tạo ra các kho lưu trữ RAR với các luồng dữ liệu thay thế có tên chứa đường dẫn tương đối. Các luồng này mang các dữ liệu tùy ý và khi được trích xuất hoặc mở trực tiếp từ kho lưu trữ, chúng sẽ được ghi vào bất kỳ thư mục nào được chọn trên đĩa.
Khả năng tải trọng
Một trong những phần mềm độc hại được xác định là trình tải dựa trên .NET:
- Thu thập thông tin hệ thống, chẳng hạn như tên máy tính của nạn nhân.
- Gửi dữ liệu đến máy chủ từ xa.
- Tải xuống phần mềm độc hại bổ sung, bao gồm cả tệp .NET được mã hóa.
Paper Werewolf được cho là sử dụng bộ nạp này kết hợp với vỏ đạn ngược trên ổ cắm, cho phép giao tiếp trực tiếp với cơ sở hạ tầng chỉ huy và kiểm soát của chúng.
Hành động được đề xuất
Người dùng WinRAR nên cập nhật ngay lên phiên bản 7.13 trở lên để loại bỏ nguy cơ từ CVE-2025-8088 và CVE-2025-6218. Bất kỳ tổ chức nào, đặc biệt là những tổ chức xử lý dữ liệu nhạy cảm, nên xem xét lại chính sách bảo mật email, tắt tính năng tự động thực thi tệp từ kho lưu trữ và theo dõi các hành vi trích xuất đáng ngờ.
