CVE-2025-8088 WinRAR-kwetsbaarheid
Beveiligingsonderzoekers hebben ontdekt dat een kritieke kwetsbaarheid in RARLAB WinRAR, die inmiddels is verholpen, op grote schaal wordt misbruikt door verschillende cybercriminelen. Zowel statelijke tegenstanders als financieel gemotiveerde groepen hebben de kwetsbaarheid benut om toegang te krijgen tot doelomgevingen en een breed scala aan schadelijke software te verspreiden. Ondanks dat de kwetsbaarheid in juli 2025 is verholpen, wordt deze nog steeds misbruikt in diverse operaties, wat de aanhoudende risico's van niet-gepatchte software benadrukt.
Inhoudsopgave
CVE-2025-8088: Technisch overzicht en impact
De kwetsbaarheid, geregistreerd onder CVE-2025-8088 met een CVSS-score van 8,8, werd verholpen in WinRAR versie 7.13, uitgebracht op 30 juli 2025. Misbruik maakt het mogelijk om willekeurige code uit te voeren via speciaal geprepareerde archiefbestanden die worden geopend in kwetsbare versies van de software. De oorzaak is een path traversal-fout waardoor aanvallers bestanden kunnen plaatsen op gevoelige locaties, met name de Windows-opstartmap, waardoor ze ongemerkt bestanden kunnen opslaan en deze automatisch kunnen uitvoeren bij het herstarten van het systeem en het inloggen van de gebruiker.
Deze exploitatietechniek weerspiegelt een bredere lacune in de verdediging op het gebied van elementaire applicatiebeveiliging en het bewustzijn van eindgebruikers.
Van Zero-Day tot N-Day: De evolutie van aanvallen
Het beveiligingslek werd al op 18 juli 2025 als zero-day-vulnerabiliteit misbruikt, met name door de dreigingsgroep RomCom (ook bekend als CIGAR of UNC4895), die een dubbele motivatie hanteert. Deze operaties verspreidden een variant van de SnipBot (NESTPACKER) malware. Onderzoekers leggen ook een verband tussen deze activiteit en het cluster UNC2596, dat in verband is gebracht met Cuba Ransomware-aanvallen.
Na de openbare bekendmaking en het toepassen van patches, ontwikkelde de kwetsbaarheid zich snel tot een wijdverspreide n-day-aanval, waarbij aanvallers kwaadaardige bestanden, vaak Windows-snelkoppelingen (LNK) met verborgen payloads in alternatieve datastromen (ADS), inbedden in misleidende content. Eenmaal uitgepakt, worden deze bestanden in vooraf bepaalde systeempaden geplaatst en automatisch geactiveerd na een herstart.
Operaties van staten breiden de uitbuiting uit
Verschillende aan de overheid gelieerde dreigingsgroepen hebben CVE-2025-8088 in hun actieve campagnes opgenomen. Met name aan Rusland gelieerde actoren hebben op maat gemaakte lokmiddelen en secundaire ladingen gebruikt om zowel spionage- als ontwrichtende doelen te bereiken:
- Sandworm (ook bekend als APT44 of FROZENBARENTS) verspreidde archieven met Oekraïens-thema-lokbestanden, samen met kwaadaardige LNK-payloads die ontworpen waren om extra componenten te bemachtigen.
- Gamaredon (ook bekend als CARPATHIAN) richtte zich op Oekraïense overheidsinstanties door middel van RAR-archieven die in eerste instantie HTML-applicatiedownloaders (HTA's) leverden.
- Turla (ook bekend als SUMMIT) misbruikte de kwetsbaarheid om het STOCKSTAY-malwareframework te verspreiden, waarbij gebruik werd gemaakt van social engineering-thema's die verband hielden met Oekraïense militaire en drone-gerelateerde activiteiten.
Tegelijkertijd heeft een in China gevestigde cybercrimineel dezelfde kwetsbaarheid misbruikt om Poison Ivy te installeren. Dit gebeurt via een batchscript dat in de opstartmap van Windows wordt geplaatst en is geconfigureerd om een tweede installatieprogramma op te halen.
Financieel gemotiveerde campagnes en commerciële targeting
Cybercriminele groepen maakten snel gebruik van de kwetsbaarheid om veelgebruikte remote access trojans (RAT's) en informatiedieven in te zetten tegen commerciële slachtoffers. Waargenomen payloads omvatten door Telegram-bots bestuurde backdoors, evenals malwarefamilies zoals AsyncRAT en XWorm.
In een opvallende campagne verspreidde een cybercriminele groep die bekendstaat om haar aanvallen op Braziliaanse gebruikers een kwaadaardige Chrome-extensie. Deze extensie injecteerde JavaScript in de pagina's van twee Braziliaanse bankwebsites om phishingcontent weer te geven en gebruikersgegevens te bemachtigen. Dit demonstreerde de flexibiliteit van de initiële toegang die via de WinRAR-exploit werd verkregen.
Ondergrondse markten en de commercialisering van uitbuiting
De snelle en wijdverspreide toepassing van CVE-2025-8088 wordt toegeschreven aan een bloeiende ondergrondse exploitatie-economie. WinRAR-exploits werden naar verluidt aangeboden voor duizenden dollars, waardoor de drempel voor een breed scala aan gebruikers werd verlaagd. Een aanbieder die opereerde onder het pseudoniem 'zeroplayer' bood een WinRAR-exploit aan in de weken voorafgaand aan de openbare bekendmaking van CVE-2025-8088.
De voortdurende rol van Zeroplayer als upstream-provider illustreert de commoditisering van de aanvalscyclus, waarbij kant-en-klare exploitatiemogelijkheden de ontwikkelingskosten verlagen en groepen met uiteenlopende motieven in staat stellen geavanceerde operaties uit te voeren.
Een breder patroon: Aanvullende WinRAR-kwetsbaarheden onder de loep genomen
Deze activiteit valt samen met pogingen tot exploitatie van een andere WinRAR-kwetsbaarheid, CVE-2025-6218 (CVSS-score: 7,8). Verschillende cybercriminelen, waaronder GOFFEE, Bitter en Gamaredon, hebben deze afzonderlijke kwetsbaarheid misbruikt, wat de aanhoudende dreiging van n-day-kwetsbaarheden en de snelheid waarmee tegenstanders nieuw ontdekte zwakheden in werking stellen, onderstreept.
Strategische implicaties voor verdedigers
Het aanhoudende misbruik van gepatchte WinRAR-kwetsbaarheden onderstreept het belang van tijdig patchbeheer, training van gebruikersbewustzijn en monitoring van persistentiemechanismen zoals ongeautoriseerde bestanden in opstartmappen. De samenloop van door de staat gesponsorde en criminele exploitatie laat bovendien zien hoe snel kritieke kwetsbaarheden gedeelde bronnen worden binnen het dreigingslandschap.
