Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet CVE-2025-8088 WinRAR-sårbarhet

CVE-2025-8088 WinRAR-sårbarhet

Med Mezo i Sårbarhet
Oversett til:

Sikkerhetsforskere har avdekket omfattende utnyttelse av en nå oppdatert kritisk sårbarhet i RARLAB WinRAR av flere trusselaktører. Både motstandere i nasjonalstater og økonomisk motiverte grupper har utnyttet feilen til å få initial tilgang til målmiljøer og distribuere et bredt spekter av ondsinnede nyttelaster. Til tross for at den ble oppdatert i juli 2025, fortsetter sårbarheten å bli misbrukt på tvers av ulike operasjoner, noe som fremhever vedvarende risikoer forbundet med uoppdatert programvare.

CVE-2025-8088: Teknisk oversikt og innvirkning

Sårbarheten, sporet som CVE-2025-8088 med en CVSS-poengsum på 8,8, ble adressert i WinRAR versjon 7.13, utgitt 30. juli 2025. Utnyttelse muliggjør kjøring av vilkårlig kode gjennom spesiallagde arkivfiler som åpnes i sårbare versjoner av programvaren. Rotårsaken er en feil i sti-traversering som lar angripere slippe filer på sensitive steder, spesielt Windows-oppstartsmappen, noe som muliggjør skjult vedvarende kode og automatisk kjøring ved systemstart og brukerpålogging.

Denne utnyttelsesteknikken gjenspeiler et bredere defensivt gap i grunnleggende applikasjonssikkerhetshygiene og sluttbrukerens bevissthet.

Fra nulldag til N-dag: Angrepenes utvikling

Feilen ble utnyttet som en nulldagsfeil så tidlig som 18. juli 2025, særlig av den dobbeltmotiverte trusselgruppen RomCom (også kjent som CIGAR eller UNC4895). Disse operasjonene leverte en variant av SnipBot (NESTPACKER)-skadevaren. Forskere knytter også relatert aktivitet til klyngen sporet som UNC2596, som har blitt koblet til Cuba Ransomware-distribusjoner.

Etter offentliggjøring og oppdateringer gikk sårbarheten raskt over til en mye utnyttet n-dag, med angripere som bygde inn skadelige filer, ofte Windows-snarveier (LNK)-nyttelaster skjult i alternative datastrømmer (ADS), i lokkemiddelinnhold. Når disse filene er pakket ut, plasseres de i forhåndsbestemte systemstier og utløses automatisk etter en omstart.

Nasjonalstatlige operasjoner utvider utnyttelsen

Flere trusselgrupper med tilknytning til myndighetene har innlemmet CVE-2025-8088 i aktive kampanjer. Spesielt russisk-tilknyttede aktører har brukt skreddersydde lokkemidler og sekundære nyttelaster for å fremme både spionasje og disruptive mål:

  • Sandworm (også kjent som APT44 eller FROZENBARENTS) distribuerte arkiver som inneholdt lokkefuglfiler med ukrainsk tema sammen med ondsinnede LNK-nyttelaster designet for å hente tilleggskomponenter.
  • Gamaredon (også kjent som CARPATHIAN) målrettet seg mot ukrainske myndigheter ved å bruke RAR-arkiver som leverte HTML-applikasjonsnedlastere (HTA) som et første trinn.
  • Turla (også kjent som SUMMIT) misbrukte feilen til å distribuere STOCKSTAY-rammeverket for skadelig programvare, ved å bruke sosiale manipulasjonstemaer knyttet til ukrainsk militær og drone-relaterte aktiviteter.

Parallelt har en Kina-basert trusselaktør utnyttet den samme sårbarheten for å installere Poison Ivy, levert gjennom et batch-skript som slippes i Windows oppstartsmappen og konfigureres til å hente en sekundær dropper.

Økonomisk motiverte kampanjer og kommersiell målretting

Nettkriminelle grupper tok raskt i bruk sårbarheten for å distribuere trojanere for fjerntilgang (RAT-er) og informasjonstyveri mot kommersielle ofre. Observerte nyttelaster inkluderer bakdører kontrollerte av Telegram-boter, samt skadevarefamilier som AsyncRAT og XWorm.

I en bemerkelsesverdig kampanje distribuerte en nettkriminalitetsgruppe kjent for å målrette brasilianske brukere en ondsinnet Chrome-utvidelse. Denne utvidelsen injiserte JavaScript i sidene til to brasilianske banknettsteder for å presentere phishing-innhold og samle brukerlegitimasjon, noe som demonstrerer fleksibiliteten til den første tilgangen som oppnås gjennom WinRAR-utnyttelsen.

Underjordiske markeder og kommersialisering av utnyttelser

Den raske og brede adopsjonen av CVE-2025-8088 vurderes å stamme fra en blomstrende undergrunnsøkonomi for utnyttelser. WinRAR-utnyttelser ble angivelig annonsert for tusenvis av dollar, noe som senket inngangsbarrieren for et bredt spekter av aktører. En leverandør som opererte under aliaset «zeroplayer» markedsførte en WinRAR-utnyttelse i ukene før offentliggjøringen av CVE-2025-8088.

Zeroplayers fortsatte rolle som en oppstrømsleverandør illustrerer kommersialiseringen av angrepslivssyklusen, der nøkkelferdige utnyttelsesmuligheter reduserer utviklingskostnader og gjør det mulig for grupper med varierte motivasjoner å utføre sofistikerte operasjoner.

Et bredere mønster: Ytterligere WinRAR-feil under angrep

Denne aktiviteten sammenfaller med utnyttelsesforsøk mot en annen WinRAR-sårbarhet, CVE-2025-6218 (CVSS-poengsum: 7,8). Flere trusselaktører, inkludert GOFFEE, Bitter og Gamaredon, har blitt observert som utnytter denne separate feilen, noe som forsterker den pågående trusselen fra n-dagers sårbarheter og hastigheten som motstandere operasjonaliserer nylig avslørte svakheter.

Strategiske implikasjoner for forsvarere

Det vedvarende misbruket av oppdaterte WinRAR-sårbarheter understreker viktigheten av rettidig oppdateringshåndtering, opplæring i brukerbevissthet og overvåking av vedvarende mekanismer som uautoriserte filer i oppstartskataloger. Konvergensen av statsstøttet og kriminell utnyttelse demonstrerer ytterligere hvor raskt kritiske sårbarheter blir delte ressurser på tvers av trussellandskapet.

Trender

Mest sett

Laster inn...