Luka w zabezpieczeniach WinRAR CVE-2025-8088
Badacze bezpieczeństwa odkryli rozległe przypadki wykorzystywania krytycznej luki w zabezpieczeniach programu RARLAB WinRAR przez wielu cyberprzestępców. Zarówno przeciwnicy reprezentujący państwa, jak i grupy motywowane finansowo, wykorzystały tę lukę, aby uzyskać wstępny dostęp do docelowych środowisk i wdrożyć szeroką gamę złośliwych programów. Pomimo załatania luki w lipcu 2025 roku, luka nadal jest wykorzystywana w różnych systemach operacyjnych, co wskazuje na utrzymujące się ryzyko związane z niezałatanym oprogramowaniem.
Spis treści
CVE-2025-8088: Przegląd techniczny i wpływ
Luka, oznaczona jako CVE-2025-8088 i oceniona w CVSS na poziomie 8,8, została usunięta w WinRAR w wersji 7.13, wydanej 30 lipca 2025 roku. Luka umożliwia wykonanie dowolnego kodu za pośrednictwem specjalnie spreparowanych plików archiwów otwartych w podatnych na ataki wersjach oprogramowania. Podstawową przyczyną jest błąd polegający na przechodzeniu przez ścieżkę (path traversal), który pozwala atakującym na umieszczanie plików w wrażliwych lokalizacjach, w szczególności w folderze startowym systemu Windows, umożliwiając ukryte utrzymywanie się plików i automatyczne wykonywanie po ponownym uruchomieniu systemu i zalogowaniu użytkownika.
Ta technika eksploatacji luk odzwierciedla szerszą lukę obronną w podstawowej higienie bezpieczeństwa aplikacji i świadomości użytkownika końcowego.
Od ataków typu zero-day do ataków typu N-day: ewolucja ataków
Luka została wykorzystana jako luka typu zero-day już 18 lipca 2025 roku, w szczególności przez grupę cyberprzestępczą RomCom (znaną również jako CIGAR lub UNC4895) o podwójnym motywie działania. Operacje te dostarczyły wariant złośliwego oprogramowania SnipBot (NESTPACKER). Badacze wiążą również powiązaną aktywność z klastrem śledzonym jako UNC2596, który został powiązany z wdrożeniami ransomware na Kubie.
Po publicznym ujawnieniu i zainstalowaniu poprawek, luka szybko przekształciła się w powszechnie wykorzystywaną lukę typu n-day, w której atakujący umieszczają złośliwe pliki, często ukryte w alternatywnych strumieniach danych (ADS) w zawartości pozorowanej. Po wyodrębnieniu pliki te są umieszczane w predefiniowanych ścieżkach systemowych i uruchamiane automatycznie po ponownym uruchomieniu.
Działania państw narodowych zwiększają eksploatację
Wiele powiązanych z rządem grup przestępczych włączyło lukę CVE-2025-8088 do aktywnych kampanii. W szczególności podmioty powiązane z Rosją wykorzystywały specjalnie zaprojektowane przynęty i ładunki pomocnicze do realizacji celów szpiegowskich i destrukcyjnych:
- Wirus Sandworm (znany również jako APT44 lub FROZENBARENTS) wdrażał archiwa zawierające fałszywe pliki o tematyce ukraińskiej wraz ze złośliwymi ładunkami LNK, których celem było wydobycie dodatkowych komponentów.
- Gamaredon (znany również jako CARPATHIAN) zaatakował ukraińskie instytucje rządowe, wykorzystując w tym celu archiwa RAR, które na pierwszym etapie zawierały programy do pobierania aplikacji HTML (HTA).
- Turla (znana też jako SUMMIT) wykorzystała lukę w zabezpieczeniach, aby rozpowszechniać złośliwe oprogramowanie STOCKSTAY, posługując się motywami socjotechnicznymi powiązanymi z działaniami ukraińskiego wojska i dronami.
Jednocześnie pewien cyberprzestępca działający w Chinach wykorzystał tę samą lukę w zabezpieczeniach, aby zainstalować oprogramowanie Poison Ivy, dostarczone za pomocą skryptu wsadowego umieszczonego w folderze Autostart systemu Windows i skonfigurowanego tak, aby pobierać dodatkowy program do pobierania.
Kampanie motywowane finansowo i targetowanie komercyjne
Grupy cyberprzestępcze szybko wykorzystały tę lukę, aby wdrażać komercyjne trojany zdalnego dostępu (RAT) i programy wykradające informacje. Zaobserwowane szkodliwe programy obejmują backdoory kontrolowane przez boty Telegram, a także rodziny złośliwego oprogramowania, takie jak AsyncRAT i XWorm.
W jednej z głośnych kampanii grupa cyberprzestępców, znana z atakowania brazylijskich użytkowników, rozpowszechniała złośliwe rozszerzenie przeglądarki Chrome. Rozszerzenie to wstrzyknęło kod JavaScript na strony dwóch brazylijskich witryn bankowych, aby prezentować treści phishingowe i zbierać dane uwierzytelniające użytkowników, demonstrując elastyczność początkowego dostępu uzyskanego za pomocą luki w zabezpieczeniach WinRAR.
Rynki podziemne i komodyfikacja wyzysku
Ocenia się, że szybkie i powszechne przyjęcie luki CVE-2025-8088 wynika z prężnie rozwijającej się podziemnej gospodarki opartej na wykorzystaniu luk w zabezpieczeniach. Według doniesień, luki w zabezpieczeniach WinRAR były reklamowane za tysiące dolarów, co obniżyło barierę wejścia dla szerokiego grona podmiotów. Dostawca działający pod pseudonimem „zeroplayer” wprowadził na rynek lukę w zabezpieczeniach WinRAR na kilka tygodni przed publicznym ujawnieniem luki CVE-2025-8088.
Dalsza rola Zeroplayer jako dostawcy usług upstream ilustruje komodyfikację cyklu życia ataku, w którym gotowe możliwości wykorzystania luk w zabezpieczeniach ograniczają koszty rozwoju i umożliwiają grupom o różnych motywacjach przeprowadzanie zaawansowanych operacji.
Szerszy schemat: dodatkowe luki w WinRAR-ze pod ostrzałem
Ta aktywność zbiega się z próbami wykorzystania innej luki w zabezpieczeniach WinRAR, CVE-2025-6218 (wynik CVSS: 7,8). Zaobserwowano, że wielu cyberprzestępców, w tym GOFFEE, Bitter i Gamaredon, wykorzystuje tę odrębną lukę, co wzmacnia ciągłe zagrożenie wynikające z luk n-day i szybkość, z jaką przeciwnicy wykorzystują nowo ujawnione słabości.
Strategiczne implikacje dla obrońców
Ciągłe nadużywanie załatanych luk w zabezpieczeniach WinRAR podkreśla wagę terminowego zarządzania poprawkami, szkoleń użytkowników w zakresie świadomości oraz monitorowania mechanizmów trwałości, takich jak nieautoryzowane pliki w katalogach startowych. Połączenie działań sponsorowanych przez państwo i działań przestępczych dodatkowo pokazuje, jak szybko krytyczne luki stają się zasobami współdzielonymi w całym krajobrazie zagrożeń.
