Zraniteľnosť CVE-2025-8088 v súbore WinRAR
Bezpečnostní výskumníci odhalili rozsiahle zneužívanie teraz už opravenej kritickej zraniteľnosti v RARLAB WinRAR viacerými aktérmi hrozbami. Túto chybu využili ako protivníci na úrovni jednotlivých štátov, tak aj finančne motivované skupiny na získanie počiatočného prístupu k cieľovým prostrediam a nasadenie širokej škály škodlivých dát. Napriek tomu, že bola táto zraniteľnosť opravená v júli 2025, naďalej sa zneužíva v rôznych operáciách, čo zdôrazňuje pretrvávajúce riziká spojené s neopraveným softvérom.
Obsah
CVE-2025-8088: Technický prehľad a dopad
Zraniteľnosť, sledovaná ako CVE-2025-8088 so skóre CVSS 8,8, bola vyriešená vo verzii WinRAR 7.13, vydanej 30. júla 2025. Zneužitie umožňuje spustenie ľubovoľného kódu prostredníctvom špeciálne vytvorených archívnych súborov otvorených v zraniteľných verziách softvéru. Hlavnou príčinou je chyba prechodu cesty, ktorá útočníkom umožňuje umiestniť súbory na citlivé miesta, najmä do priečinka Po spustení systému Windows, čo umožňuje nenápadné pretrvávanie a automatické spustenie po reštarte systému a prihlásení používateľa.
Táto technika zneužívania odráža širšiu obrannú medzeru v základnej hygiene bezpečnosti aplikácií a povedomí koncových používateľov.
Od nultého dňa po deň N: Vývoj útokov
Chyba bola zneužitá ako zero-day už 18. júla 2025, najmä skupinou s dvojitou motiváciou RomCom (známou aj ako CIGAR alebo UNC4895). Tieto operácie priniesli variant malvéru SnipBot (NESTPACKER). Výskumníci tiež spájajú súvisiacu aktivitu s klastrom sledovaným ako UNC2596, ktorý bol spojený s nasadením ransomvéru Cuba.
Po zverejnení a oprave sa zraniteľnosť rýchlo stala široko zneužívanou, pričom útočníci vkladali škodlivé súbory, často užitočné dáta skratiek systému Windows (LNK) skryté v alternatívnych dátových tokoch (ADS), do návnadového obsahu. Po extrahovaní sú tieto súbory umiestnené do vopred určených systémových ciest a automaticky sa spúšťajú po reštarte.
Operácie národných štátov rozširujú využívanie
Viaceré vládne skupiny hrozby začlenili CVE-2025-8088 do aktívnych kampaní. Najmä aktéri spriaznení s Ruskom použili prispôsobené návnady a sekundárne užitočné zaťaženie na presadzovanie špionážnych aj rušivých cieľov:
- Sandworm (známy aj ako APT44 alebo FROZENBARENTS) nasadil archívy obsahujúce návnadové súbory s ukrajinskou tematikou spolu so škodlivými dátami LNK určenými na získanie ďalších komponentov.
- Gamaredon (známy aj ako CARPATHIAN) sa zameral na ukrajinské vládne subjekty pomocou archívov RAR, ktoré v prvej fáze poskytovali sťahovacie programy HTML aplikácií (HTA).
- Turla (známa aj ako SUMMIT) zneužila túto chybu na šírenie malvéru STOCKSTAY s využitím tém sociálneho inžinierstva spojených s ukrajinskou armádou a aktivitami súvisiacimi s dronmi.
Súbežne s tým čínsky hacker využil rovnakú zraniteľnosť ako zbraň na inštaláciu vírusu Poison Ivy, ktorý bol doručený prostredníctvom dávkového skriptu umiestneného do priečinka Po spustení systému Windows a nakonfigurovaného na načítanie sekundárneho spúšťača.
Finančne motivované kampane a komerčné cielenie
Kyberzločinecké skupiny rýchlo využili túto zraniteľnosť na nasadenie trójskych koní na vzdialený prístup (RAT) a kradnutie informácií proti komerčným obetiam. Medzi pozorované užitočné zaťaženia patria zadné vrátka ovládané botmi Telegramu, ako aj rodiny malvéru, ako napríklad AsyncRAT a XWorm.
V jednej pozoruhodnej kampani distribuovala kyberzločinná skupina, ktorá je známa zameraním sa na brazílskych používateľov, škodlivé rozšírenie pre prehliadač Chrome. Toto rozšírenie vložilo JavaScript do stránok dvoch brazílskych bankových webových stránok, aby zobrazovalo phishingový obsah a získavalo používateľské prihlasovacie údaje, čím demonštrovalo flexibilitu počiatočného prístupu získaného prostredníctvom zneužitia WinRAR.
Podzemné trhy a komoditizácia exploitov
Predpokladá sa, že rýchle a široké prijatie CVE-2025-8088 pramení z prosperujúcej podzemnej ekonomiky zameranej na zneužívanie škodlivých kódov. Zneužitie WinRARu bolo údajne inzerované za tisíce dolárov, čo znížilo vstupnú bariéru pre širokú škálu aktérov. Dodávateľ pôsobiaci pod prezývkou „zeroplayer“ propagoval zneužitie WinRARu v týždňoch predchádzajúcich verejnému zverejneniu CVE-2025-8088.
Zeroplayer naďalej zohráva úlohu ako poskytovateľa v oblasti upstreamových riešení, čo ilustruje komoditizáciu životného cyklu útoku, kde komplexné možnosti zneužitia znižujú náklady na vývoj a umožňujú skupinám s rôznou motiváciou vykonávať sofistikované operácie.
Širší vzorec: Ďalšie chyby WinRARu pod útokom
Táto aktivita sa zhoduje s pokusmi o zneužitie inej zraniteľnosti WinRAR, CVE-2025-6218 (skóre CVSS: 7,8). Bolo pozorovaných viacero aktérov hrozieb vrátane GOFFEE, Bitter a Gamaredon, ktorí zneužívajú túto samostatnú chybu, čím posilňujú pretrvávajúcu hrozbu, ktorú predstavujú n-dňové zraniteľnosti, a rýchlosť, akou útočníci operacionalizujú novoodhalené slabiny.
Strategické dôsledky pre obrancov
Neustále zneužívanie opravených zraniteľností WinRARu zdôrazňuje dôležitosť včasnej správy záplat, školení používateľov o zvyšovaní povedomia a monitorovania mechanizmov perzistencie, ako sú napríklad neoprávnené súbory v spúšťacích adresároch. Konvergencia zneužívania zo strany štátu a zločincov ďalej demonštruje, ako rýchlo sa kritické zraniteľnosti stávajú zdieľanými zdrojmi v rámci celého prostredia hrozieb.
