Vulnerabilitate de parcurgere a căii în WinRAR, încă exploatată de numeroși hackeri

Potrivit bleepingcomputer.com, mai mulți actori rău intenționați, atât susținuți de stat, cât și motivați financiar, exploatează vulnerabilitatea de severitate mare CVE-2025-8088 în WinRAR pentru a obține acces inițial și a livra diverse payload-uri malițioase. Această problemă de securitate este o vulnerabilitate de parcurgere a căii care folosește Fluxuri Alternative de Date (ADS) pentru a scrie fișiere malițioase în locații arbitrare.

👉 Detalii despre grupurile de atacatori și timpul exploatării

Atacatorii au exploatat acest lucru în trecut pentru a planta malware în folderul Startup din Windows, asigurându-se astfel persistența între reporniri. Cercetătorii de la compania de securitate cibernetică ESET au descoperit vulnerabilitatea și au raportat la începutul lunii august 2025 că grupul RomCom, aliniat Rusiei, o exploata în atacuri zero-day. Într-un raport publicat astăzi, Grupul de Inteligență pe Amenințări Google (GTIG) afirmă că exploatarea a început încă din 18 iulie 2025 și continuă până în prezent, atât din partea actorilor de spionaj susținuți de stat, cât și a criminalilor cibernetici de nivel mai scăzut, motivați financiar.

👉 Modul de exploatare

„Lanțul de exploatare implică adesea ascunderea fișierului malițios în interiorul ADS-ului unui fișier de decoy din arhivă. De obicei, utilizatorul vizualizează un document de decoy, cum ar fi un PDF, în interiorul arhivei, dar există și intrări ADS malițioase, unele conținând un payload ascuns, în timp ce altele sunt date fictive,” explică cercetătorii de la Google.

Când este deschis, WinRAR extrage payload-ul ADS folosind parcurgerea directorului, lăsând adesea fișiere LNK, HTA, BAT, CMD sau scripturi care se execută la autentificarea utilizatorului. Printre actorii de amenințare susținuți de stat pe care cercetătorii Google i-au observat exploatând CVE-2025-8088 se numără: Google a observat, de asemenea, că actorii motivați financiar exploatează vulnerabilitatea de parcurgere a căii din WinRAR pentru a distribui unelte de acces la distanță comune și programe de furt de informații, cum ar fi XWorm și AsyncRAT, backdoor-uri controlate prin bot-uri Telegram și extensii bancare malițioase pentru browserul Chrome.

Toți acești actori de amenințare sunt considerați că au obținut exploatări funcționale de la furnizori specializați, cum ar fi unul care folosește alias-ul “zeroplayer”, care a publicat o exploatare WinRAR în luna iulie trecută. Același actor de amenințare a comercializat multiple exploatări de mare valoare anul trecut, inclusiv presupuse zero-day-uri pentru evaziunea din sandbox-ul Microsoft Office, RCE pentru VPN de companie, escaladarea privilegiilor locale pe Windows și o ocolire pentru soluțiile de securitate (EDR, antivirus), vânzându-le la prețuri cuprinse între 80.000 și 300.000 de dolari.

Google observă că aceasta reflectă commoditizarea dezvoltării exploatelor, care este crucială în ciclul de viață al atacurilor cibernetice, reducând fricțiunea și complexitatea pentru atacatori și permițându-le să viz Targeteze sisteme nepăstrate într-un timp scurt. Pe măsură ce MCP (Model Context Protocol) devine standardul pentru conectarea LLM-urilor la instrumente și date, echipele de securitate se mișcă rapid pentru a menține aceste noi servicii în siguranță.

Această foaie de trucuri gratuită schițează 7 bune practici pe care le poți începe să le folosești astăzi. Google a corectat două zero-day-uri Android exploatate în atacuri, 107 vulnerabilități Doi ai Flaw SolarWinds Web Help Desk este acum exploatat în atacuri. CISA afirmă că vulnerabilitatea critică RCE VMware este acum activ exploatată. Apple a corectat două vulnerabilități zero-day exploatate în atacuri „sophisticate”. CISA confirmă exploatarea activă a patru erori de software de întreprindere.