CVE-2025-8088 WinRAR sebezhetőség
Biztonsági kutatók feltárták a RARLAB WinRAR egy mostanra javított kritikus sebezhetőségének széles körű kihasználását több fenyegető szereplő által. Mind a nemzetállami ellenségek, mind a pénzügyileg motivált csoportok kihasználták a hibát, hogy kezdeti hozzáférést szerezzenek a célzott környezetekhez, és széles körű rosszindulatú fájlokat telepítsenek. Annak ellenére, hogy 2025 júliusában javították, a sebezhetőséget továbbra is használják különféle műveletekben, ami rávilágít a javítatlan szoftverekkel kapcsolatos állandó kockázatokra.
Tartalomjegyzék
CVE-2025-8088: Technikai áttekintés és hatás
A CVE-2025-8088 azonosítójú, 8,8-as CVSS pontszámmal rendelkező sebezhetőséget a WinRAR 7.13-as verziójában, 2025. július 30-án kiadott verziójában javították. A sérülékenység kihasználása lehetővé teszi tetszőleges kódfuttatást a szoftver sebezhető verzióiban megnyitott speciálisan létrehozott archív fájlokon keresztül. A kiváltó ok egy útvonalbejárási hiba, amely lehetővé teszi a támadók számára, hogy fájlokat helyezzenek érzékeny helyekre, nevezetesen a Windows Startup mappába, lehetővé téve a fájlok észrevétlen megőrzését és automatikus végrehajtását a rendszer újraindításakor és a felhasználó bejelentkezésekor.
Ez a kihasználási technika egy szélesebb körű védelmi rést tükröz az alapvető alkalmazásbiztonsági higiénia és a végfelhasználói tudatosság terén.
A nulladik naptól az N-napig: A támadások evolúciója
A hibát már 2025. július 18-án kihasználták nulladik napi hibaként, nevezetesen a kettős motivációjú RomCom (más néven CIGAR vagy UNC4895) fenyegetéscsoport. Ezek a műveletek a SnipBot (NESTPACKER) rosszindulatú program egy változatát juttatták el a rendszerbe. A kutatók a kapcsolódó tevékenységet az UNC2596 azonosítójú klaszterhez is társítják, amelyet a Cuba Ransomware telepítéseihez hoztak összefüggésbe.
A nyilvános bejelentést és a javítást követően a sebezhetőség gyorsan széles körben kihasznált n-napos sérülékenységgé vált, a támadók rosszindulatú fájlokat, gyakran alternatív adatfolyamokban (ADS) elrejtett Windows parancsikonokat (LNK) ágyaztak be a csalitartalomba. A kinyerés után ezek a fájlok előre meghatározott rendszerútvonalakra kerülnek, és az újraindítás után automatikusan aktiválódnak.
A nemzetállami műveletek kiterjesztik a kizsákmányolást
Több kormányközeli fenyegető csoport is beépítette a CVE-2025-8088 vírust aktív kampányaiba. Különösen az oroszbarát szereplők használtak testreszabott csalianyagokat és másodlagos hasznos támadásokat mind a kémkedés, mind a zavarkeltő célok előmozdítására:
- A Sandworm (más néven APT44 vagy FROZENBARENTS) ukrán témájú csalifájlokat tartalmazó archívumokat telepített, valamint további komponensek lekérésére tervezett rosszindulatú LNK hasznos csomagokat.
- A Gamaredon (más néven CARPATHIAN) ukrán kormányzati szerveket vett célba RAR archívumokat használva, amelyek első lépésben HTML alkalmazás (HTA) letöltőket szállítottak.
- A Turla (más néven SUMMIT) a hibát kihasználva terjesztette a STOCKSTAY rosszindulatú keretrendszert, az ukrán hadsereghez és drónokkal kapcsolatos tevékenységekhez kapcsolódó társadalmi manipulációs témákat használva.
Ezzel párhuzamosan egy kínai székhelyű fenyegetésben részt vevő szereplő fegyverként használta fel ugyanazt a sebezhetőséget a Poison Ivy telepítésére, amelyet egy, a Windows Startup mappájába behelyezett és egy másodlagos telepítő lekérésére konfigurált kötegelt szkripten keresztül juttatott el a rendszerbe.
Pénzügyileg motivált kampányok és kereskedelmi célzás
A kiberbűnözői csoportok gyorsan kihasználták a sebezhetőséget, hogy távoli hozzáférésű trójai vírusokat (RAT) és információlopókat telepítsenek a kereskedelmi áldozatok ellen. A megfigyelt hasznos programok között szerepelnek a Telegram botok által vezérelt hátsó ajtók, valamint olyan rosszindulatú programcsaládok, mint az AsyncRAT és az XWorm.
Egy figyelemre méltó kampány során egy brazil felhasználókat célzó kiberbűnözői csoport egy rosszindulatú Chrome-bővítményt terjesztett. Ez a bővítmény JavaScriptet injektált két brazil banki weboldal oldalaira, hogy adathalász tartalmat jelenítsen meg és felhasználói hitelesítő adatokat gyűjtsön, demonstrálva a WinRAR kihasználásával szerzett kezdeti hozzáférés rugalmasságát.
Földalatti piacok és a kizsákmányolás árucikké válása
A CVE-2025-8088 gyors és széles körű elterjedése a virágzó illegális sebezhetőségi gazdaságnak köszönhető. A WinRAR sebezhetőségi lehetőségeket állítólag több ezer dollárért hirdették, csökkentve a belépési korlátokat a szereplők széles köre számára. Egy „zeroplayer” álnéven működő beszállító a CVE-2025-8088 nyilvános közzétételét megelőző hetekben forgalmazott egy WinRAR sebezhetőségi területet.
A Zeroplayer folyamatos szerepe, mint upstream szolgáltató, jól mutatja a támadási életciklus kommodifikációját, ahol a kulcsrakész exploit képességek csökkentik a fejlesztési költségeket, és lehetővé teszik a különböző motivációjú csoportok számára, hogy kifinomult műveleteket hajtsanak végre.
Egy szélesebb körű minta: További WinRAR hibák támadás alatt
Ez a tevékenység egybeesik egy másik WinRAR sebezhetőség, a CVE-2025-6218 (CVSS pontszám: 7,8) elleni kihasználási kísérletekkel. Több fenyegető szereplő, köztük a GOFFEE, a Bitter és a Gamaredon is megfigyelhető volt, akik kihasználták ezt a különálló hibát, megerősítve az n-napos sebezhetőségek jelentette folyamatos fenyegetést és azt a sebességet, amellyel a támadók működőképessé teszik az újonnan feltárt gyengeségeket.
Stratégiai következmények a védők számára
A javított WinRAR sebezhetőségek folyamatos visszaélése rávilágít az időben történő javításkezelés, a felhasználói tudatosságnövelő képzés és a fennmaradó mechanizmusok, például az indító könyvtárakban található jogosulatlan fájlok monitorozásának fontosságára. Az államilag támogatott és a bűnözői célú kihasználások konvergenciája tovább mutatja, hogy a kritikus sebezhetőségek milyen gyorsan válnak megosztott erőforrásokká a fenyegetési környezetben.
