Rabattilbud med flere licenser
Trusseldatabase Sårbarhed CVE-2025-8088 WinRAR-sårbarhed

CVE-2025-8088 WinRAR-sårbarhed

Med Mezo i Sårbarhed
Oversæt til:

Sikkerhedsforskere har afdækket omfattende udnyttelse af en nu opdateret kritisk sårbarhed i RARLAB WinRAR af flere trusselsaktører. Både nationalstatslige modstandere og økonomisk motiverede grupper har udnyttet fejlen til at få adgang til målmiljøer og implementere en bred vifte af ondsindede data. Selvom sårbarheden blev opdateret i juli 2025, fortsætter den med at blive misbrugt på tværs af forskellige operationer, hvilket fremhæver vedvarende risici forbundet med ikke-opdateringer.

CVE-2025-8088: Teknisk oversigt og indvirkning

Sårbarheden, sporet som CVE-2025-8088 med en CVSS-score på 8,8, blev adresseret i WinRAR version 7.13, udgivet den 30. juli 2025. Udnyttelse muliggør vilkårlig kodekørsel gennem specielt udformede arkivfiler, der åbnes i sårbare versioner af softwaren. Grundårsagen er en sti-traverseringsfejl, der giver angribere mulighed for at placere filer på følsomme steder, især Windows Startup-mappen, hvilket muliggør skjult persistens og automatisk kørsel ved systemgenstart og brugerlogin.

Denne udnyttelsesteknik afspejler et bredere defensivt hul i grundlæggende applikationssikkerhedshygiejne og slutbrugerens bevidsthed.

Fra Zero-Day til N-Day: Udviklingen af angreb

Fejlen blev udnyttet som en zero-day-fejl allerede den 18. juli 2025, især af den dobbeltmotiverede trusselgruppe RomCom (også kendt som CIGAR eller UNC4895). Disse operationer leverede en variant af SnipBot (NESTPACKER) malwaren. Forskere forbinder også relateret aktivitet med klyngen, der spores som UNC2596, og som har været forbundet med Cuba Ransomware-implementeringer.

Efter offentliggørelse og opdateringer udviklede sårbarheden sig hurtigt til en udbredt udnyttet n-dag, hvor angribere indlejrede ondsindede filer, ofte Windows-genvejsdata (LNK) gemt i alternative datastrømme (ADS), i lokkemadsindhold. Når disse filer er udpakket, placeres de i forudbestemte systemstier og aktiveres automatisk efter en genstart.

Nationalstatslige operationer udvider udnyttelse

Flere trusselsgrupper med tilknytning til regeringen har indarbejdet CVE-2025-8088 i aktive kampagner. Især aktører med tilknytning til Rusland har brugt skræddersyede lokkemidler og sekundære nyttelaster til at fremme både spionage og forstyrrende mål:

  • Sandworm (også kendt som APT44 eller FROZENBARENTS) installerede arkiver, der indeholdt lokkefuglefiler med ukrainsk tema, sammen med ondsindede LNK-nyttelaster designet til at hente yderligere komponenter.
  • Gamaredon (også kendt som CARPATHIAN) målrettede angreb på ukrainske regeringsenheder ved hjælp af RAR-arkiver, der som et første trin leverede HTML-applikationsdownloadere (HTA).
  • Turla (også kendt som SUMMIT) misbrugte fejlen til at distribuere STOCKSTAY-malwareframeworket ved hjælp af social engineering-temaer knyttet til ukrainsk militær og dronerelaterede aktiviteter.

Parallelt har en Kina-baseret trusselsaktør udnyttet den samme sårbarhed til at installere Poison Ivy, leveret via et batch-script, der blev placeret i Windows Startup-mappen og konfigureret til at hente en sekundær dropper.

Finansielt motiverede kampagner og kommerciel målretning

Cyberkriminelle grupper udnyttede hurtigt sårbarheden til at implementere almindelige fjernadgangstrojanere (RAT'er) og informationstyveri mod kommercielle ofre. Observerede data omfatter Telegram-botkontrollerede bagdøre samt malwarefamilier som AsyncRAT og XWorm.

I en bemærkelsesværdig kampagne distribuerede en cyberkriminalitetsgruppe, der er kendt for at målrette brasilianske brugere, en ondsindet Chrome-udvidelse. Denne udvidelse injicerede JavaScript på siderne på to brasilianske bankwebsteder for at præsentere phishing-indhold og indsamle brugeroplysninger, hvilket demonstrerede fleksibiliteten ved den indledende adgang, der opnås gennem WinRAR-angrebet.

Undergrundsmarkeder og kommercialiseringen af exploits

Den hurtige og brede udbredelse af CVE-2025-8088 vurderes at stamme fra en blomstrende undergrundsøkonomi med udnyttelsesmuligheder. WinRAR-exploits blev angiveligt annonceret for tusindvis af dollars, hvilket sænkede adgangsbarrieren for en bred vifte af aktører. En leverandør, der opererede under aliaset 'zeroplayer', markedsførte et WinRAR-exploit i ugerne forud for offentliggørelsen af CVE-2025-8088.

Zeroplayers fortsatte rolle som en upstream-udbyder illustrerer kommercialiseringen af angrebslivscyklussen, hvor nøglefærdige udnyttelsesmuligheder reducerer udviklingsomkostninger og gør det muligt for grupper med varierende motivationer at udføre sofistikerede operationer.

Et bredere mønster: Yderligere WinRAR-fejl under angreb

Denne aktivitet falder sammen med forsøg på udnyttelse af en anden WinRAR-sårbarhed, CVE-2025-6218 (CVSS-score: 7,8). Flere trusselsaktører, herunder GOFFEE, Bitter og Gamaredon, er blevet observeret i at udnytte denne separate fejl, hvilket forstærker den igangværende trussel fra n-dages sårbarheder og den hastighed, hvormed modstandere operationaliserer nyligt afslørede svagheder.

Strategiske implikationer for forsvarere

Det vedvarende misbrug af opdaterede WinRAR-sårbarheder understreger vigtigheden af rettidig patchhåndtering, brugerbevidsthedstræning og overvågning af persistensmekanismer såsom uautoriserede filer i startup-mapper. Konvergensen af statsstøttet og kriminel udnyttelse demonstrerer yderligere, hvor hurtigt kritiske sårbarheder bliver delte ressourcer på tværs af trusselsbilledet.

Trending

Mest sete

Indlæser...