Slevová nabídka pro více licencí
Databáze hrozeb Zranitelnost Zranitelnost CVE-2025-8088 v souboru WinRAR

Zranitelnost CVE-2025-8088 v souboru WinRAR

V roce Mezo v roce Zranitelnost
Přeložit do:

Bezpečnostní výzkumníci odhalili rozsáhlé zneužívání nyní opravené kritické zranitelnosti v souboru RARLAB WinRAR řadou aktérů hrozeb. Jak státní protivníci, tak finančně motivované skupiny zneužili tuto chybu k získání počátečního přístupu k cílovým prostředím a k nasazení široké škály škodlivých datových souborů. Přestože byla tato zranitelnost opravena v červenci 2025, je nadále zneužívána v různých operacích, což zdůrazňuje přetrvávající rizika spojená s neopraveným softwarem.

CVE-2025-8088: Technický přehled a dopad

Zranitelnost, evidovaná jako CVE-2025-8088 se skóre CVSS 8,8, byla vyřešena ve verzi WinRAR 7.13, vydané 30. července 2025. Zneužití umožňuje spuštění libovolného kódu prostřednictvím speciálně vytvořených archivních souborů otevřených ve zranitelných verzích softwaru. Hlavní příčinou je chyba typu „path traversal“, která útočníkům umožňuje umístit soubory do citlivých umístění, zejména do složky Po spuštění systému Windows, což umožňuje nenápadné přetrvání a automatické spuštění po restartu systému a přihlášení uživatele.

Tato technika zneužití odráží širší obrannou mezeru v základní hygieně zabezpečení aplikací a povědomí koncových uživatelů.

Od nultého dne k N-denu: Vývoj útoků

Chyba byla zneužita jako zero-day již 18. července 2025, zejména skupinou RomCom (známou také jako CIGAR nebo UNC4895) s dvojí motivací. Tyto operace přinesly variantu malwaru SnipBot (NESTPACKER). Výzkumníci také spojují související aktivitu s clusterem sledovaným jako UNC2596, který byl spojen s nasazením ransomwaru Cuba.

Po zveřejnění a opravě se zranitelnost rychle stala široce zneužívanou, kdy útočníci vkládali škodlivé soubory, často zástupce systému Windows (LNK) skryté v alternativních datových tocích (ADS), do návnadového obsahu. Po extrahování jsou tyto soubory umístěny do předem určených systémových cest a automaticky spuštěny po restartu systému.

Operace národních států rozšiřují využívání

Několik vládních skupin ohrožujících hrozby začlenilo CVE-2025-8088 do aktivních kampaní. Zejména aktéři napojení na Rusko použili na míru přizpůsobené návnady a sekundární náklad k prosazování špionážních i rušivých cílů:

  • Sandworm (také známý jako APT44 nebo FROZENBARENTS) nasadil archivy obsahující návnadové soubory s ukrajinskou tematikou spolu se škodlivými LNK datovými soubory určenými k získání dalších komponent.
  • Gamaredon (také známý jako CARPATHIAN) se zaměřil na ukrajinské vládní subjekty pomocí archivů RAR, které v první fázi poskytovaly stahovací programy HTML aplikací (HTA).
  • Turla (známá také jako SUMMIT) zneužila tuto chybu k distribuci malwarového frameworku STOCKSTAY s využitím témat sociálního inženýrství spojených s ukrajinskou armádou a aktivitami souvisejícími s drony.

Souběžně s tím čínský hacker využil stejnou zranitelnost k instalaci viru Poison Ivy, který byl doručen prostřednictvím dávkového skriptu umístěného do složky Po spuštění systému Windows a nakonfigurovaného pro načtení sekundárního dropperu.

Finančně motivované kampaně a komerční cílení

Kyberzločinecké skupiny si tuto zranitelnost rychle osvojily k nasazení trojských koní pro vzdálený přístup (RAT) a programů pro krádeže informací proti komerčním obětem. Mezi pozorované útoky patří zadní vrátka ovládaná boty Telegramu a také malwarové rodiny, jako jsou AsyncRAT a XWorm.

V jedné pozoruhodné kampani distribuovala kyberzločinná skupina, známá útoky na brazilské uživatele, škodlivé rozšíření pro Chrome. Toto rozšíření vložilo JavaScript do stránek dvou brazilských bankovních webů, aby zobrazovalo phishingový obsah a shromažďovalo uživatelské přihlašovací údaje, což demonstrovalo flexibilitu počátečního přístupu získaného prostřednictvím zneužití WinRARu.

Podzemní trhy a komoditizace exploitů

Rychlé a široké přijetí CVE-2025-8088 je pravděpodobně způsobeno prosperující podzemní ekonomikou zaměřenou na exploity. Exploity WinRAR byly údajně inzerovány za tisíce dolarů, což snižovalo vstupní bariéru pro širokou škálu aktérů. Dodavatel působící pod přezdívkou „zeroplayer“ prodával exploit WinRAR v týdnech předcházejících veřejnému zveřejnění CVE-2025-8088.

Zeroplayer nadále působí jako poskytovatel v upstreamu a ilustruje komoditizaci životního cyklu útoku, kde komplexní exploitové funkce snižují náklady na vývoj a umožňují skupinám s různou motivací provádět sofistikované operace.

Širší vzorec: Další chyby WinRARu pod útokem

Tato aktivita se shoduje s pokusy o zneužití jiné zranitelnosti WinRARu, CVE-2025-6218 (skóre CVSS: 7,8). Bylo pozorováno, že tuto samostatnou chybu zneužívá několik aktérů hrozeb, včetně GOFFEE, Bitter a Gamaredon, což posiluje přetrvávající hrozbu, kterou představují zranitelnosti typu n-day, a rychlost, s jakou útočníci operacionalizují nově odhalené slabiny.

Strategické důsledky pro obránce

Trvalé zneužívání opravených zranitelností WinRARu podtrhuje důležitost včasné správy záplat, školení uživatelů a monitorování mechanismů perzistence, jako jsou neoprávněné soubory ve spouštěcích adresářích. Konvergence státem podporovaného a kriminálního zneužívání dále ukazuje, jak rychle se kritické zranitelnosti stávají sdílenými zdroji v celém prostředí hrozeb.

Trendy

Trump Token Airdrop Airdrop podvod

Phishing, Nečestné webové stránky
Při řešení neočekávaných nebo nevyžádaných e-mailů je zásadní zůstat ostražití. Kyberzločinci stále častěji používají dobře formulované zprávy, které se vydávají za populární značky, trendy projekty nebo známá témata, aby manipulovali s příjemci a přiměli je odhalit citlivé informace. Do této kategorie přesně spadají takzvané e-maily s „Trump Token Airdrop“. Tyto zprávy nejsou spojeny s žádnými...

Nejvíce shlédnuto

Načítání...