הצעת הנחה מרובה רישיונות
מסד נתונים של איומים פְּגִיעוּת פגיעות של WinRAR Zero-Day

פגיעות של WinRAR Zero-Day

עד Mezo ב-פְּגִיעוּת, תוכנה זדונית
לתרגם ל:

המפתחים שמאחורי כלי אחסון הקבצים הפופולרי WinRAR פרסמו עדכון אבטחה דחוף כדי לתקן פגיעות של יום אפס שמנוצלת באופן פעיל בטבע. הפגם, שסומן כ-CVE-2025-8088 עם ציון CVSS של 8.8, הוא באג חציית נתיבים בגרסת Windows של WinRAR המאפשר לתוקפים לבצע קוד שרירותי דרך קבצי ארכיון בעלי מבנה מיוחד.

התיקון סופק בגרסה 7.13 של WinRAR, שפורסמה ב-31 ביולי 2025. הפגיעות משפיעה לא רק על WinRAR אלא גם על RAR, UnRAR, UnRAR.dll, ועל קוד המקור הנייד של UnRAR עבור Windows.

איך הניצול עובד

הפגם מתרחש מכיוון שגרסאות קודמות של WinRAR עלולות להיות מוטעות לחלץ קבצים באמצעות נתיב זדוני שצוין בתוך הארכיון במקום נתיב החילוץ המיועד. התנהגות זו יכולה להיות מנוצלת כדי למקם קבצים בספריות מערכת רגישות, כגון תיקיית ההפעלה של Windows, מה שמוביל לביצוע קוד אוטומטי בכניסה הבאה למערכת.

הפגיעות הקשורה CVE-2025-6218, שתוקנה ביוני 2025, אפשרה גם התקפות חציית ספריות. גורמי איום יכלו להשתמש בשני הפגמים יחד כדי לתמרן נתיבי קבצים במהלך חילוץ, לכתוב קבצים מחוץ לתיקיות ייעודיות ולהריץ קוד זדוני תוך הצגת מסמך מטעה כדי להסיח את דעת הקורבן.

פעילות גורם איום וקישורי רשת אפלה

חוקרי אבטחת סייבר קישרו את הניצול האחרון של CVE-2025-8088 לקבוצת ההאקרים Paper Werewolf (הידוע גם כ-GOFFEE). ייתכן שקבוצה זו קישרה את הפגם עם CVE-2025-6218 כדי לשגר התקפות ממוקדות.

חקירות גילו כי ב-7 ביולי 2025, פושע סייבר המכונה 'zeroplayer' פרסם תוכנת WinRAR לכאורה של zero-day בפורום בשפה הרוסית Exploit.in תמורת 80,000 דולר. החשד הוא ש-Paper Werewolf השיג את הניצול הזה והשתמש בו כנשק במתקפות בעולם האמיתי.

פרטי קמפיין ההתקפה

ביולי 2025, ארגונים רוסים היו מטרה באמצעות הודעות דוא"ל פישינג שהכילו ארכיונים זדוניים. כאשר הקורבנות פתחו קבצים אלה, שרשרת הפריצות ניצלה את שתי הפגיעויות כדי:

  • כתיבת קבצים לתיקיות מחוץ לנתיב החילוץ המיועד.
  • הפעלת קוד ללא מודעותו של הקורבן.

פרט טכני בולט הוא שתוקפים יצרו ארכיוני RAR עם זרמי נתונים חלופיים ששמותיהם הכילו נתיבים יחסיים. זרמים אלה נשאו מטענים שרירותיים, וכאשר חולצו או נפתחו ישירות מהארכיון, נכתבו לכל ספרייה שנבחרה בדיסק.

יכולות מטען

אחד המטענים הזדוניים שזוהו הוא טוען מבוסס .NET אשר:

  • אוסף מידע על המערכת, כגון שם המחשב של הקורבן.
  • שולח את הנתונים לשרת מרוחק.
  • מוריד תוכנות זדוניות נוספות, כולל אסמבלי .NET מוצפן.

על פי הדיווחים, Paper Werewolf משתמש בטוען זה בשילוב עם מעטפת הפוכה מעל שקעים, מה שמאפשר תקשורת ישירה עם תשתית הפיקוד והבקרה שלהם.

פעולה מומלצת

משתמשי WinRAR צריכים לעדכן באופן מיידי לגרסה 7.13 או גרסה מתקדמת יותר כדי לבטל את הסיכון מ-CVE-2025-8088 ו-CVE-2025-6218. כל ארגון, במיוחד אלו המטפלים במידע רגיש, צריכים לעיין במדיניות אבטחת הדוא"ל, להשבית את הרצת הקבצים האוטומטית מהארכיונים ולנטר התנהגות חשודה של חילוץ.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
36,104
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...