Rosyjskie grupy hakerskie wykorzystują krytyczną lukę zero-day w popularnym użyteczności kompresji plików Winrar, narażając miliony użytkowników. Wada, zidentyfikowana jako CVE-2025-8088, umożliwia atakującym wykonywanie złośliwego kodu w systemie celu, gdy otwierają specjalnie wykonany plik archiwum.
Firma ochronna ESET odkryła aktywne wyczyny w lipcu 2025 r. przypisując je grupie cyberprzestępczości Romcom . Dewelar Winrara ma od czasu Wydana wersja 7.13, aby załatać podatność . Jednak aplikacja nie aktualizuje się automatycznie, wymagając od użytkowników ręcznego zainstalowania poprawki.
Incydent wyświetlający wyświetlanie wyświetlenia bezpieczeństwa: Atakerzy często wykorzystują powolne cykle łatania powszechnie zainstalowanego oprogramowania. Brak funkcji auto-aktualizacji w Winrar znacznie poszerza okno możliwości dla aktorów zagrożenia, aby odnieść sukces wraz z ich kampaniami phishingowymi.
Pod aktywnym wykorzystaniem
Podatność została po raz pierwszy wykryta na wolności przez badaczy ESET 18 lipca 2025 r., Którzy zaobserwowali Niezwykłe działanie plików wskazujące na nowy exploit . Po potwierdzeniu zachowania, odpowiedzialnie ujawnili wadę programistom Winrar 24 lipca, co spowodowało szybką odpowiedź.
Zaledwie sześć dni później, 30 lipca, wydano łatą wersję. Wada jest teraz oficjalnie śledzony w krajowej bazie danych w podatności jako CVE-2025-8088 . Jego odkrycie kontynuuje niepokojący trend problemów bezpieczeństwa w wszechobecnym archiilu pliku, który pozostaje celem o wysokiej wartości dla cyberprzestępców.
w jaki sposób CVE-2025-8088 Wadą przemieszczania ścieżki działa
u jego rdzenia, CVE-2025-8088 jest katalogowcą. Ta klasa wady pozwala atakującemu pisać pliki do dowolnych lokalizacji na komputerze ofiary, pomijając standardowe ograniczenia bezpieczeństwa. Atak rozpoczyna się od e-maila phishingowego zawierającego złośliwy plik archiwum.
Gdy użytkownik z wrażliwą wersją Winrar otwiera ten plik, Exploit nakłada aplikację do wyodrębnienia złośliwego wykonywalnego w poufnym folderze systemowym. Głównym celem jest katalog Windows Startup, lokalizacja, która zapewnia programy działające automatycznie na login.
W swoich oficjalnych notatkach z wydania programista potwierdził mechanizm, stwierdzając: „Podczas wyodrębnienia pliku, poprzednie wersje Winrar… można je oszukać, aby użyć ścieżki, zdefiniowanej w specjalnie wytwarzanym archiwum, zamiast ścieżki określonej przez użytkownika”. Po posadzeniu złośliwego oprogramowania w folderze uruchamiania automatycznie uruchomi się następnym razem, gdy użytkownik zaloguje się do systemu Windows, prowadząc do zdalnego kodu kodu i dając kontrolę atakującego.
Rosyjskie grupy hakerskie prowadzą kampanie phishingowe
ESET przypisał pierwotną falę ataków do dobrze ratowanej, finansowej grupy rosyjskiej. Ta grupa ma historię wykorzystania zerowych dni do wdrożenia niestandardowych backdorów i kradzieży danych. Według badacza Petera Strýčka: „Archiwa te wykorzystały CVE-2025-8088, aby dostarczyć Romcom Backdoors. Romcom jest grupą dostosowaną do Rosji.”
Wyrafinowanie grupy jest godne uwagi. Analiza ESET stwierdza: „Wykorzystując nieznaną wcześniej bezbronność zero-day w Winrar, grupa Romcom wykazała, że jest gotowa zainwestować poważne wysiłki i zasoby w swoje cyberoperacyjne”. Niepokojące, Romcom nie jest sam. Rosyjska firma ochroniarska Bi.zone poinformowała, że druga grupa, znana jako papierowy wilkołak lub goffee, został również wykorzystujący CVE-2025-8088 we własnych kampaniach.
Pilna aktualizacja manualna wymagana jako powtórzenia historii
To nie jest pierwszy raz Winrar. Narzędzie ma historię krytycznych luk, które były aktywnie wykorzystywane na wolności. W 2023 r. Kolejna wada, CVE-2023-38831, była używana przez hakerów wspieranych przez państwo z Rosji i Chin.
W tym samym roku odrębny błąd, CVE-2023-40477, również dozwolony w celu zdalnego wykonywania kodu w dotkniętych systemach, wymagającą kolejnej plastra pilnej. Te powtarzające się incydenty służą jako wyraźne przypomnienie ryzyka związanego z oprogramowaniem, które nie jest konsekwentnie aktualizowane.
Podstawą problemu jest powolna szybkość ręcznych aktualizacji. Jak wcześniej skomentowała grupa analizy zagrożeń Google w wykorzystywaniu Winrar: „… ciągłe wykorzystanie […]„ Najważniejsze wykorzystywanie, że wykorzystywanie znanych luk może być bardzo skuteczne “, ponieważ atakujący wykorzystują powolne wskaźniki łatek na swoją korzyść”. Atakerzy rozumieją te zachowanie użytkownika i budują kampanie wokół niego, znajomość dużej puli wrażliwych celów będzie utrzymywana przez miesiące.
Podczas gdy Microsoft wprowadził natywną obsługę RAR i innych formatów archiwum w ostatnich wersjach systemu Windows 11, miliony użytkowników w starszych systemach lub tych, którzy wolą zestaw funkcji Winrar. Wszystkim użytkownikom zaleca się, aby natychmiast pobrać i zainstalować WinRar 7.13 lub nowszy.
