WinRAR 零時差漏洞
熱門文件歸檔工具 WinRAR 的開發者發布了緊急安全更新,以修復一個被廣泛利用的零日漏洞。此漏洞編號為 CVE-2025-8088,CVSS 評分為 8.8,是 Windows 版 WinRAR 中的路徑遍歷漏洞,允許攻擊者透過特製的歸檔檔案執行任意程式碼。
該修復程序包含在 2025 年 7 月 31 日發布的 WinRAR 版本 7.13 中。該漏洞不僅影響 WinRAR,還影響 RAR、UnRAR、UnRAR.dll 以及適用於 Windows 的可移植 UnRAR 原始程式碼。
目錄
漏洞利用機制
該漏洞的出現是因為早期版本的 WinRAR 可能會被誘騙使用檔案中指定的惡意路徑(而非預期的解壓縮路徑)來解壓縮檔案。攻擊者可以利用此行為將檔案放置在敏感的系統目錄中,例如 Windows 啟動資料夾,導致下次系統登入時自動執行程式碼。
相關漏洞 CVE-2025-6218(於 2025 年 6 月修復)也允許目錄遍歷攻擊。威脅行為者可以同時利用這兩個漏洞,在提取過程中操縱文件路徑、在指定資料夾之外寫入文件,以及在顯示誘餌文件以分散受害者註意力的同時運行惡意程式碼。
威脅行為者活動和暗網鏈接
網路安全研究人員已將近期 CVE-2025-8088 漏洞的利用與駭客組織 Paper Werewolf(又名 GOFFEE)聯繫起來。該組織可能將該漏洞與 CVE-2025-6218 漏洞結合使用,以發動定向攻擊。
調查顯示,2025年7月7日,一個名為「zeroplayer」的網路犯罪者在俄語論壇Exploit.in上以8萬美元的價格出售一個疑似WinRAR零日漏洞。據懷疑,Paper Werewolf獲取了該漏洞,並將其用於實際攻擊。
攻擊活動詳情
2025年7月,俄羅斯組織遭到包含惡意存檔的網路釣魚電子郵件攻擊。當受害者開啟這些檔案時,漏洞利用鏈利用這兩個漏洞執行以下操作:
- 將檔案寫入預期提取路徑之外的目錄。
- 在受害者不知情的情況下觸發程式碼執行。
值得注意的技術細節是,攻擊者建立了包含相對路徑的替代資料流的 RAR 壓縮檔案。這些資料流攜帶任意有效載荷,當從壓縮檔案中提取或直接開啟時,會被寫入磁碟上任意選定的目錄。
有效載荷能力
已識別的惡意負載之一是基於 .NET 的載入程序,它:
- 收集系統訊息,例如受害者的電腦名稱。
- 將資料傳送到遠端伺服器。
- 下載其他惡意軟體,包括加密的 .NET 程式集。
據報道,Paper Werewolf 將此載入器與套接字上的反向 shell 結合使用,從而允許與其命令和控制基礎設施直接通訊。
建議操作
WinRAR 使用者應立即更新至 7.13 或更高版本,以消除 CVE-2025-8088 和 CVE-2025-6218 所帶來的風險。任何組織,尤其是處理敏感資料的組織,都應檢查電子郵件安全策略,停用存檔中的自動檔案執行功能,並監控可疑的提取行為。
