WinRAR 零日漏洞

通过Mezo在漏洞, 恶意软件

翻译为：

热门文件归档工具 WinRAR 的开发者发布了紧急安全更新，以修复一个被广泛利用的零日漏洞。该漏洞编号为 CVE-2025-8088，CVSS 评分为 8.8，是 Windows 版 WinRAR 中的一个路径遍历漏洞，允许攻击者通过特制的归档文件执行任意代码。

该修复程序包含在 2025 年 7 月 31 日发布的 WinRAR 版本 7.13 中。该漏洞不仅影响 WinRAR，还影响 RAR、UnRAR、UnRAR.dll 以及适用于 Windows 的可移植 UnRAR 源代码。

该漏洞的出现是因为早期版本的 WinRAR 可能会被诱骗使用存档中指定的恶意路径（而非预期的解压路径）来解压文件。攻击者可以利用此行为将文件放置在敏感的系统目录中，例如 Windows 启动文件夹，从而导致下次系统登录时自动执行代码。

相关漏洞 CVE-2025-6218（于 2025 年 6 月修复）也允许目录遍历攻击。威胁行为者可以同时利用这两个漏洞，在提取过程中操纵文件路径、在指定文件夹之外写入文件，以及在显示诱饵文档以分散受害者注意力的同时运行恶意代码。

网络安全研究人员已将近期 CVE-2025-8088 漏洞的利用与黑客组织 Paper Werewolf（又名 GOFFEE）联系起来。该组织可能将该漏洞与 CVE-2025-6218 漏洞结合使用，以发起定向攻击。

调查显示，2025年7月7日，一个名为“zeroplayer”的网络犯罪分子在俄语论坛Exploit.in上以8万美元的价格出售一个疑似WinRAR零日漏洞。据怀疑，Paper Werewolf获取了该漏洞，并将其用于实际攻击。

2025年7月，俄罗斯组织遭到包含恶意存档的网络钓鱼电子邮件攻击。当受害者打开这些文件时，漏洞利用链利用这两个漏洞执行以下操作：

值得注意的技术细节是，攻击者创建了包含相对路径的替代数据流的 RAR 压缩文件。这些数据流携带任意有效载荷，当从压缩文件中提取或直接打开时，会被写入磁盘上任意选定的目录。

已识别的恶意负载之一是基于 .NET 的加载程序，它：

据报道，Paper Werewolf 将此加载器与套接字上的反向 shell 结合使用，从而允许与其命令和控制基础设施直接通信。

WinRAR 用户应立即更新至 7.13 或更高版本，以消除 CVE-2025-8088 和 CVE-2025-6218 带来的风险。任何组织，尤其是处理敏感数据的组织，都应检查电子邮件安全策略，禁用存档中的自动文件执行功能，并监控可疑的提取行为。

搜索