Опасна уязвимост в WinRAR – вече има актуализация, но хакерите я използват активно

Екипът зад популярния архивиращ софтуер WinRAR пусна спешна актуализация, за да затвори сериозна „zero-day“ уязвимост, която вече се използва от киберпрестъпници.

Проблемът, известен като CVE-2025-8088 (с оценка по CVSS: 8.8 от 10), засяга Windows версията на WinRAR и позволява на нападателите да изпълняват зловреден код на компютъра на жертвата чрез специално подготвени архивни файлове.

Как работи атаката

Става дума за path traversal – техника, при която архивът съдържа файлове с пътища, насочени извън папката за разархивиране. Така при извличане на съдържанието файловете могат да бъдат записани в чувствителни места като папката за автоматично стартиране на Windows, което позволява зловредният код да се изпълнява при всяко влизане в системата.

Уязвимостта е открита от изследователи на ESET – Антон Черепанов, Петер Косинар и Петер Стричек, и е поправена в WinRAR 7.13 (31 юли 2025). Засегнати са версии до и включително 7.12.

Кой стои зад атаките

Руският екип по киберсигурност BI.ZONE съобщава, че група, известна като Paper Werewolf (или GOFFEE), вероятно е използвала тази уязвимост заедно с друга подобна – CVE-2025-6218, поправена през юни 2025 г.

Преди тези атаки, на 7 юли 2025 г., в рускоезичен форум в тъмната мрежа хакер с псевдоним zeroplayer е предлагал „zero-day“ експлойт за WinRAR за 80 000 долара. Предполага се, че Paper Werewolf може да е купила и използвала този инструмент.

Атаките са извършвани чрез фишинг имейли със зловредни архиви. При отварянето им се задейства уязвимостта, поставят се файлове в неразрешени директории и се стартира код, докато жертвата вижда подвеждащ документ за разсейване.

Един от използваните зловредни компоненти е .NET loader, който изпраща информация за системата към външен сървър и изтегля допълнителен малуер.

Намеса и от други хакерски групи

ESET е засекла и друга руска хакерска група – RomCom, която също е експлоатирала CVE-2025-8088 още на 18 юли 2025 г. Това е третият случай, в който RomCom използва „zero-day“ уязвимости.

Техните атаки са насочени към компании от финансовия, производствения, отбранителния и логистичния сектор в Европа и Канада. Архивите им съдържат легитимен файл и няколко скрити alternative data streams (ADSes), които помагат за извършване на path traversal атака.

След отваряне на такъв архив се изпълнява зловреден DLL файл, а в папката за автоматично стартиране на Windows се добавя пряк път (LNK) за постоянен достъп. Впоследствие се зареждат допълнителни инструменти за шпионаж и контрол на системата.

Не само WinRAR – и 7-Zip има проблем

Почти по същото време стана ясно, че и друг популярен архиватор – 7-Zip – е получил поправка за уязвимост (CVE-2025-55188), която позволява произволно записване на файлове чрез неправилно обработване на символни връзки. Макар и с по-ниска оценка по CVSS (2.7), тази дупка също може да доведе до изпълнение на код при определени условия.

Какво да направите

• Актуализирайте WinRAR до версия 7.13 или по-нова – по-старите версии са уязвими.
• Избягвайте отваряне на архиви от непознати източници, особено получени по имейл.
• Използвайте антивирусен софтуер и редовно сканирайте системата си.

Тези инциденти показват колко важно е своевременното обновяване на софтуера и предпазливото боравене с прикачени файлове – дори от познати програми, които използваме от години.