Zero-day уязвимост в Windows версията на WinRAR, позволяваща пълен контрол върху засегнатата машина, е открита от компанията за решения за киберсигурност ESET. Уязвимостта в софтуера за архивиране е разкрита на 18 юли, като е била използвана от хакерска група на име „RomCom“.
На 30 юли разработчиците от WinRAR създават нова версия на продукта (7.13), която премахва слабостта, а малко по-късно излиза и CVE идентификатор за нея – CVE-2025-8088.
За да се предпазите от тази атака, се уверете, че имате WinRAR версия 7.13 или следваща. Можете също да премахнете съмнителни архиви от система си. За детайлна информация относно уязвимостта можете да прочетете оригиналната статията от ESET.
Проблемът в програмата възниква от начина, по който тя разархивира файловете. Потребителят получава архив (който примерно може да бъде получен от зловреден имейл) с нагледно легитимна информация.
Освен това, което се вижда от програмата, в архива съществуват и други файлове, скрити от потребителя посредством „alternative data streams“. Двата важни от тези скрити файлове са изпълним файл, който ще се свърже с машина под контрол на атакуващите, откъдето те ще изпращат своите команди към заразената машина и .lnk файл (файл, който препраща към друг файл), който сочи към първия. Когато потребителят използва уязвимата разархивиращата програма, .lnk файлът бива запазен в AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup посредством „Path traversal“, атака, при която системата позволява запазване на файлове извън определената за тях директория. След това, когато машината се рестартира, изпълнимият файл ще бъде автоматично стартиран и атакуващите ще могат да изпълняват команди на машината.
След като атакуващите имат достъп до машината, те могат да извлекат ценна информация и да се опитат да придобият достъп и до други устройства в мрежата, като продължение на своята атака.