Ranljivost WinRAR-a CVE-2025-8088
Varnostni raziskovalci so odkrili obsežno izkoriščanje zdaj že popravljene kritične ranljivosti v zbirki RARLAB WinRAR s strani več akterjev groženj. Tako nasprotniki na ravni nacionalnih držav kot finančno motivirane skupine so izkoristili napako za pridobitev začetnega dostopa do ciljnih okolij in namestitve širokega nabora zlonamernih koristnih tovorov. Kljub temu, da je bila ranljivost popravljena julija 2025, se še vedno zlorablja v različnih operacijah, kar poudarja vztrajna tveganja, povezana z nepopravljeno programsko opremo.
Kazalo
CVE-2025-8088: Tehnični pregled in vpliv
Ranljivost, označena kot CVE-2025-8088 z oceno CVSS 8,8, je bila odpravljena v različici WinRAR 7.13, izdani 30. julija 2025. Izkoriščanje omogoča izvajanje poljubne kode prek posebej izdelanih arhivskih datotek, odprtih v ranljivih različicah programske opreme. Osnovni vzrok je napaka prečkanja poti, ki napadalcem omogoča, da datoteke spusti na občutljiva mesta, predvsem v mapo Startup sistema Windows, kar omogoča prikrito vztrajanje in samodejno izvajanje ob ponovnem zagonu sistema in prijavi uporabnika.
Ta tehnika izkoriščanja odraža širšo obrambno vrzel v osnovni varnostni higieni aplikacij in ozaveščenosti končnih uporabnikov.
Od ničelnega dne do N-dneva: razvoj napadov
Napaka je bila izkoriščena kot ničelna napaka že 18. julija 2025, predvsem s strani skupine z dvojno motivacijo RomCom (znane tudi kot CIGAR ali UNC4895). Te operacije so prinesle različico zlonamerne programske opreme SnipBot (NESTPACKER). Raziskovalci povezujejo tudi povezano dejavnost z grozdom, ki je bil sleden kot UNC2596, ki je bil povezan z namestitvami izsiljevalske programske opreme Cuba Ransomware.
Po javnem razkritju in namestitvi popravkov se je ranljivost hitro spremenila v široko izkoriščeno ranljivost, pri kateri so napadalci v vabljivo vsebino vdelali zlonamerne datoteke, pogosto bližnjice sistema Windows (LNK), skrite v alternativnih podatkovnih tokovih (ADS). Ko so te datoteke izvlečene, se namestijo na vnaprej določene sistemske poti in se po ponovnem zagonu samodejno sprožijo.
Operacije nacionalnih držav širijo izkoriščanje
Več z vlado povezanih skupin za groženje je v aktivne kampanje vključilo CVE-2025-8088. Zlasti akterji, povezani z Rusijo, so uporabljali prilagojene vabe in sekundarne tovore za doseganje tako vohunskih kot motečih ciljev:
- Sandworm (znan tudi kot APT44 ali FROZENBARENTS) je namestil arhive z vabljivimi datotekami z ukrajinsko tematiko, skupaj z zlonamernimi koristnimi podatki LNK, namenjenimi pridobivanju dodatnih komponent.
- Gamaredon (znan tudi kot CARPATHIAN) je ciljal na ukrajinske vladne subjekte z uporabo arhivov RAR, ki so kot prvo fazo zagotavljali programe za prenos aplikacij HTML (HTA).
- Turla (znana tudi kot SUMMIT) je zlorabila napako za distribucijo ogrodja zlonamerne programske opreme STOCKSTAY z uporabo tem socialnega inženiringa, povezanih z ukrajinsko vojsko in dejavnostmi, povezanimi z droni.
Vzporedno je kitajski akter groženj izkoristil isto ranljivost za namestitev virusa Poison Ivy, ki se prenaša prek paketnega skripta, spuščenega v mapo za zagon sistema Windows in konfiguriranega za pridobivanje sekundarnega spuščalca.
Finančno motivirane kampanje in komercialno ciljanje
Kibernetske kriminalne skupine so hitro izkoristile ranljivost za uporabo trojanskih konjev za oddaljeni dostop (RAT) in kradljivcev informacij proti komercialnim žrtvam. Med opaženimi koristnimi podatki so zadnja vrata, ki jih nadzorujejo boti za Telegram, ter družine zlonamerne programske opreme, kot sta AsyncRAT in XWorm.
V eni od opaznih akcij je skupina za kibernetski kriminal, znana po tem, da cilja na brazilske uporabnike, distribuirala zlonamerno razširitev za Chrome. Ta razširitev je vstavila JavaScript na strani dveh brazilskih bančnih spletnih mest, da bi prikazala vsebino za lažno predstavljanje in pridobila uporabniške poverilnice, kar je pokazalo fleksibilnost začetnega dostopa, pridobljenega z izkoriščanjem WinRAR-ja.
Podzemni trgi in komercializacija izkoriščanja
Ocenjuje se, da hitro in široko sprejetje CVE-2025-8088 izvira iz cvetočega podzemnega gospodarstva izkoriščanja. Izkoriščanje WinRAR-ja naj bi se oglaševalo za tisoče dolarjev, kar je znižalo vstopno oviro za širok krog akterjev. Dobavitelj, ki je deloval pod psevdonimom »zeroplayer«, je v tednih pred javnim razkritjem CVE-2025-8088 tržil izkoriščanje WinRAR-ja.
Zeroplayerjeva nadaljnja vloga kot ponudnika v zgornjem delu verige ponazarja komodifikacijo življenjskega cikla napada, kjer zmogljivosti izkoriščanja na ključ zmanjšujejo stroške razvoja in omogočajo skupinam z različnimi motivacijami izvajanje sofisticiranih operacij.
Širši vzorec: Napadene so dodatne pomanjkljivosti programa WinRAR
Ta aktivnost sovpada s poskusi izkoriščanja druge ranljivosti WinRAR-ja, CVE-2025-6218 (ocena CVSS: 7,8). Opaženih je bilo več akterjev groženj, vključno z GOFFEE, Bitterjem in Gamaredonom, ki so izkoriščali to ločeno pomanjkljivost, kar je okrepilo stalno grožnjo, ki jo predstavljajo ranljivosti n-dnevnih ranljivosti, in hitrost, s katero nasprotniki operacionalizirajo na novo odkrite slabosti.
Strateške posledice za zagovornike
Stalna zloraba zakrpanih ranljivosti WinRAR-ja poudarja pomen pravočasnega upravljanja popravkov, usposabljanja uporabnikov za ozaveščanje in spremljanja mehanizmov vztrajnosti, kot so nepooblaščene datoteke v zagonskih imenikih. Konvergenca izkoriščanja, ki ga sponzorira država, in kriminalnih izkoriščanj dodatno kaže, kako hitro kritične ranljivosti postanejo skupni viri v celotnem okolju groženj.
