Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade Vulnerabilidade do WinRAR CVE-2025-6218

Vulnerabilidade do WinRAR CVE-2025-6218

Por Mezo em Vulnerabilidade, Ameaça Persistente Avançada (APT)
Traduzir Para:

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou formalmente uma falha de segurança no WinRAR, utilitário de compactação e arquivamento de arquivos, ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A agência citou evidências de que a vulnerabilidade está sendo explorada ativamente, aumentando as preocupações tanto para organizações quanto para usuários individuais.

A falha, identificada como CVE-2025-6218 com uma pontuação CVSS de 7,8, é uma vulnerabilidade de travessia de diretório que permite a um atacante executar código no contexto do usuário atual. A exploração bem-sucedida requer que o alvo visite um site malicioso ou abra um arquivo especialmente criado para esse fim.

Detalhes da falha e status da correção

A RARLAB corrigiu essa vulnerabilidade no WinRAR 7.12, lançado em junho de 2025. A falha afeta apenas as versões para Windows; as versões para Unix, Android e outras plataformas não foram afetadas.

A vulnerabilidade permite que invasores coloquem arquivos em locais sensíveis do sistema, como a pasta Inicializar do Windows, podendo desencadear a execução de código não intencional no próximo login do sistema.

Atividade de agentes de ameaça

Diversos relatórios de segurança cibernética indicam que a vulnerabilidade CVE-2025-6218 foi explorada por três grupos de ameaças distintos:

  • GOFFEE (Lobisomem de Papel)
  • Amargo (APT-C-08 / Manlinghua)
  • Gamaredon
  • Campanhas GOFFEE

Em julho de 2025, o grupo GOFFEE supostamente combinou as vulnerabilidades CVE-2025-6218 e CVE-2025-8088, outra vulnerabilidade de alta gravidade de travessia de diretório no WinRAR (pontuação CVSS 8.8), para atacar organizações por meio de e-mails de phishing. Esses ataques sugerem um esforço coordenado e sofisticado para comprometer ambientes corporativos.

Exploração Amarga de APT

O grupo APT Bitter, focado no Sul da Ásia, explorou a vulnerabilidade para manter a persistência em sistemas comprometidos e implantar um trojan em C# usando um downloader leve. O ataque envolve um arquivo RAR chamado Provision of Information for Sectoral for AJK.rar, contendo um documento Word inócuo e um modelo de macro malicioso.

Os principais mecanismos do ataque incluem:

  • Adicionando o arquivo Normal.dotm ao caminho de modelos globais do Microsoft Word, garantindo que a macro seja executada automaticamente sempre que o Word for aberto.
  • Contornando as proteções padrão de macros de e-mail para documentos recebidos após a invasão.
  • Permitir que o trojan entre em contato com um servidor C2 externo em johnfashionaccess.com, facilitando o registro de teclas digitadas (keylogging), a captura de telas, o roubo de credenciais RDP e a exfiltração de arquivos.

Esses arquivos são distribuídos principalmente por meio de campanhas de spear-phishing.

Exploração de Gamaredon

O grupo Gamaredon, afiliado à Rússia, também explorou a vulnerabilidade CVE-2025-6218 em campanhas de phishing direcionadas a entidades militares, governamentais, políticas e administrativas ucranianas. O malware, apelidado de Pteranodon, foi observado pela primeira vez em novembro de 2025.

As evidências indicam que esta não é uma atividade oportunista. Trata-se de espionagem e sabotagem estruturadas, com foco militar, provavelmente coordenadas pela inteligência estatal russa. Além disso, o grupo Gamaredon explorou a vulnerabilidade CVE-2025-8088 para distribuir malware em Visual Basic Script e implantar um programa destrutivo chamado GamaWiper, marcando a primeira transição observada do grupo de operações de espionagem para operações destrutivas.

Principais conclusões para equipes de segurança

Organizações e equipes de segurança devem priorizar as seguintes ações:

  • Certifique-se de que todos os sistemas Windows que executam o WinRAR estejam atualizados para a versão 7.12 ou posterior.
  • Mantenha-se vigilante contra campanhas de phishing, especialmente e-mails de spear-phishing contendo arquivos RAR ou documentos do Word.
  • Monitore atividades suspeitas que indiquem a presença persistente de backdoors, keylogging ou tentativas de comunicação com o comando e controle (C2).
  • Reconheça que agentes patrocinados pelo Estado podem combinar múltiplas vulnerabilidades para ataques direcionados.

A aplicação proativa de patches, a manutenção da segurança de e-mails e o monitoramento de endpoints são essenciais para mitigar essas ameaças avançadas e limitar o impacto operacional de vulnerabilidades exploradas, como a CVE-2025-6218.

Tendendo

Mais visto

Carregando...