Grup peretasan yang terkait dengan Rusia sedang mengeksploitasi kerentanan nol-hari yang kritis dalam utilitas kompresi file Winrar yang populer, menempatkan jutaan pengguna dalam risiko. Kelemahan, diidentifikasi sebagai CVE-2025-8088, memungkinkan penyerang untuk menjalankan kode berbahaya pada sistem target ketika mereka membuka file arsip yang dibuat khusus.
Perusahaan keamanan ESET menemukan eksploitasi aktif pada Juli 2025, yang menghubungkan mereka dengan romcom cybercrime group . Pengembang Winrar memiliki sejak Versi 7.13 yang dirilis untuk menambal kerentanan . Namun, aplikasi tidak diperbarui secara otomatis, mengharuskan pengguna untuk menginstal perbaikan secara manual.
Insiden Sorotan Tantangan Keamanan Persisten: Penyerang sering memanfaatkan siklus tambalan lambat perangkat lunak yang diinstal secara luas. Kurangnya fitur pembaruan otomatis di Winrar secara signifikan memperluas jendela peluang bagi para aktor ancaman untuk berhasil dengan kampanye phishing mereka.
Aktivitas file yang tidak biasa menunjuk ke eksploitasi baru . Setelah mengkonfirmasi perilaku itu, mereka secara bertanggung jawab mengungkapkan cacat kepada pengembang Winrar pada 24 Juli, sebuah langkah yang mendorong tanggapan cepat.
Hanya enam hari kemudian, pada 30 Juli, versi yang ditambal dikeluarkan. Kelemahannya sekarang secara resmi dilacak dalam database kerentanan nasional sebagai CVE-2025-8088 . Penemuannya terus menjadi tren masalah keamanan yang meresahkan dalam arsip file di mana-mana, yang tetap menjadi target bernilai tinggi untuk penjahat cyber.
bagaimana CVE-2025-8088 Path Traversal Flaw Works
Pada intinya, CVE-2025-2025-205-201888888888888888888888. Kelas cacat ini memungkinkan penyerang untuk menulis file ke lokasi sewenang-wenang di komputer korban, melewati pembatasan keamanan standar. Serangan dimulai dengan email phishing yang berisi file arsip berbahaya.
Ketika pengguna dengan versi WinRar yang rentan membuka file ini, eksploitasi trik aplikasi untuk mengekstraksi executable berbahaya ke dalam folder sistem yang sensitif. Target utama adalah Windows Startup Directory, lokasi yang memastikan program berjalan secara otomatis pada login.
Dalam catatan rilis resminya, pengembang mengkonfirmasi mekanisme tersebut, menyatakan,”Saat mengekstraksi file, versi Winrar sebelumnya… dapat ditipu untuk menggunakan jalur, yang ditentukan dalam arsip yang dibuat khusus, alih-alih jalur yang ditentukan pengguna.”Setelah malware ditanam di folder startup, ia akan secara otomatis berjalan di waktu berikutnya pengguna masuk ke windows, yang mengarah ke eksekusi kode jarak jauh dan memberikan kontrol penyerang.
Kelompok peretasan Rusia memimpin kampanye phishing
Eset telah mengaitkan gelombang utama serangan primer. Grup ini memiliki riwayat memanfaatkan zero-days untuk menggunakan backdoors khusus dan mencuri data. Menurut peneliti Peter Strýček, “Arsip-arsip ini mengeksploitasi CVE-2025-8088 untuk memberikan backdoors romcom. Romcom adalah kelompok yang selaras dengan Rusia.”
Kecanggihan kelompok ini penting. Analisis ESET menyatakan,”Dengan mengeksploitasi kerentanan nol-hari yang sebelumnya tidak diketahui di Winrar, kelompok Romcom telah menunjukkan bahwa mereka bersedia untuk menginvestasikan upaya dan sumber daya yang serius ke dalam operasi cyber-nya.”Mengganggu, Romcom tidak sendirian. Firma keamanan Rusia Bi.zone melaporkan bahwa kelompok kedua, yang dikenal sebagai Paper Werewolf atau Goffee, juga ditemukan mengeksploitasi CVE-2025-8088 dalam kampanye sendiri.
Pembaruan manual mendesak yang diperlukan sebagai pengulangan sejarah
Ini bukan pertama kalinya Winrar di Pusat. Alat ini memiliki sejarah kerentanan kritis yang secara aktif dieksploitasi di alam liar. Pada tahun 2023, cacat lain, CVE-2023-38831, digunakan oleh peretas yang didukung negara dari Rusia dan Cina.
Pada tahun yang sama, bug terpisah, CVE-2023-40477, juga memungkinkan untuk eksekusi kode jarak jauh pada sistem yang terkena dampak, membutuhkan tambalan mendesak lainnya. Insiden berulang ini berfungsi sebagai pengingat yang jelas tentang risiko yang terkait dengan perangkat lunak yang tidak diperbarui secara konsisten.
Inti masalahnya adalah tingkat lambat pembaruan manual. Seperti yang sebelumnya dikomentari oleh Google Ancaman Analisis pada eksploitasi Winrar,”… eksploitasi yang sedang berlangsung […]‘ menyoroti bahwa eksploitasi untuk kerentanan yang diketahui bisa sangat efektif ’karena penyerang menggunakan tingkat penambalan yang lambat untuk keuntungan mereka.”Penyerang memahami perilaku pengguna ini dan membangun kampanye di sekitarnya, mengetahui kumpulan besar target yang rentan akan bertahan selama berbulan-bulan.
Sementara Microsoft telah memperkenalkan dukungan asli untuk RAR dan format arsip lainnya dalam build Windows 11 baru-baru ini, jutaan pengguna pada sistem yang lebih tua atau mereka yang lebih suka set fitur Winrar tetap ada. Semua pengguna sangat disarankan untuk mengunduh dan menginstal Winrar 7.13 atau lebih baru segera.
