De beheerders van het WinRar File Archiving Utility hebben een update vrijgegeven om een actief geëxploiteerde zero-day kwetsbaarheid aan te pakken.
Opgespoord als CVE-2025-8088 (CVSS-score: 8.8), is het probleem beschreven als een geval van padverwijzing die de Windows-versie van de tool beïnvloedt die kan worden benut om willekeurige code-uitvoering te verkrijgen door kwaadaardige archiefbestanden te maken.
“Bij het extraheren van een bestand kunnen eerdere versies van WinRar, Windows -versies van RAR, UNRAR, Portable Unrar Source Code en UNRAR.DLL worden misleid om een pad te gebruiken, gedefinieerd in een speciaal vervaardigd archief, in plaats van een gespecificeerd pad,” zei Winrar in een advies.
Anton Cherepanov, Peter Kosinar en Peter Strycek van ESET zijn gecrediteerd voor het ontdekken en rapporteren van het beveiligingsdefect, dat is aangepakt in Winrar versie 7.13 uitgebracht op 31 juli 2025.
Het is momenteel niet bekend hoe de kwetsbaarheid wordt bewapend in real-world aanvallen, en door wie. In 2023 werd een andere kwetsbaarheid die van invloed was op WinRAR (CVE-2013-38831, CVSS-score: 7.8) onder zware uitbuiting, ook als een nul-dag, door meerdere dreigingsacteurs uit China en Rusland.
De Russische cybersecurity-leverancier Bi.zone zei in een rapport dat vorige week werd gepubliceerd, er zijn aanwijzingen dat de hackgroep volgde als Paper Werewolf (aka Goffee) mogelijk een hefboom voor CVE-2025-8088 naast CVE-2015-6218, een directory traversale bug in de Windows-versie van WinRar die werd geplaatst in juni 2025.
Het is belangrijk op te merken dat voorafgaand aan deze aanvallen een dreigingsacteur die werd geïdentificeerd als “Zeroplayer” werd gespot reclame op 7 juli 2025, een vermeende winrar zero-day exploit op het Russisch Dark Web Forum Exploit.in voor een prijskaartje van $ 80.000. Er wordt vermoed dat de papieren weerwolf -acteurs het misschien hebben verworven en hebben gebruikt voor hun aanvallen.
“In eerdere versies van Winrar, evenals RAR, UNRAR, UNRAR.DLL en de draagbare UNRAR-broncode voor Windows, kan een speciaal vervaardigd archief met willekeurige code worden gebruikt om bestandspaden te manipuleren tijdens extractie,” zei Winrar in een alert voor CVE-2025-6218 op het moment.
“Gebruikersinteractie is vereist om deze kwetsbaarheid te benutten, waardoor bestanden buiten de beoogde map kunnen worden geschreven. Deze fout kan worden benut om bestanden op gevoelige locaties te plaatsen – zoals de Windows Startup -map – die mogelijk leidt tot onbedoelde code -uitvoering op het volgende systeem.”
De aanvallen, per bi.zone, richtten zich in juli 2025 op Russische organisaties via phishing-e-mails met booby-ingepakte archieven die, wanneer gelanceerd, CVE-2025-6218 veroorzaakten en waarschijnlijk CVE-2025-8088 om bestanden te schrijven buiten de doelmap en code-uitvoering te bereiken, terwijl een decoy-document wordt gepresenteerd als een afleiding.
“De kwetsbaarheid is gerelateerd aan het feit dat u bij het maken van een RAR -archief een bestand kunt opnemen met alternatieve gegevensstromen, waarvan de namen relatieve paden bevatten,” zei Bi.zone. “Deze streams kunnen een willekeurige lading bevatten. Bij het uitpakken van een dergelijk archief of het openen van een bijgevoegd bestand rechtstreeks vanuit het archief, worden gegevens uit de alternatieve streams geschreven naar willekeurige mappen op de schijf, een directory traversal -aanval.”
“De kwetsbaarheid beïnvloedt winrar -versies tot en met 7.12. Beginnend met versie 7.13, wordt deze kwetsbaarheid niet langer gereproduceerd.”
Een van de kwaadaardige payloads in kwestie is een .NET -lader die is ontworpen om systeeminformatie naar een externe server te verzenden en extra malware te ontvangen, inclusief een gecodeerde .NET -assemblage.
“Paper Werewolf gebruikt de C# loader om de computergebruik van het slachtoffer te krijgen en deze in de gegenereerde link naar de server te verzenden om de payload te krijgen,” voegde het bedrijf eraan toe. “Paper Werewolf gebruikt stopcontacten in de omgekeerde shell om te communiceren met de besturingsserver.”
7-ZIP pluggen willekeurig bestand schrijven bug
De openbaarmaking wordt geleverd als 7-Zip verzonden patches voor een beveiligingsfout (CVE-2025-55188, CVSS-score: 2.7) die kan worden misbruikt voor willekeurig schrijven van bestanden vanwege de manier waarop het gereedschap symbolische links behandelt tijdens extractie, wat kan leiden tot code-uitvoering. Het probleem is aangepakt in versie 25.01.
In een mogelijk aanvalsscenario zou een dreigingsacteur de fout kunnen benutten om ongeautoriseerde toegang of code -uitvoering te bereiken door te knoeien met gevoelige bestanden, zoals door de SSH -toetsen of .bashrc -bestand van een gebruiker te overschrijven.
De aanval richt zich voornamelijk op UNIX -systemen, maar kan ook worden aangepast voor Windows met extra vereisten. “Op Windows moet het extractieproces van 7-zip de mogelijkheid hebben om symbolische links te maken (bijv. Extraheer met beheerdersrechten, Windows is in de ontwikkelaarsmodus, enz.),” Beveiligingsonderzoeker “Lunbun” zei.
