Nedávno odhalená a opravená zraniteľnosť v programe WinRAR, označená ako CVE-2025-8088, sa už aktívne zneužíva v rámci phishingových útokov na šírenie malvéru známeho ako RomCom. Táto bezpečnostná chyba, ktorú vývojári vyriešili vo verzii WinRAR 7.13, umožňuje útočníkom prostredníctvom špeciálne upravených archívov extrahovať súbory do ľubovoľných systémových adresárov podľa ich výberu.
Podstata zraniteľnosti spočíva v takzvanom prechode cez adresáre (directory traversal). Pri extrakcii súborov staršie verzie WinRAR a niektoré súvisiace komponenty (ako UnRAR pre Windows a UnRAR.dll) môžu byť oklamané tak, že namiesto bežnej cesty použijú cestu špecifikovanú v škodlivom archíve. Toto umožňuje útočníkom vkladať spustiteľné súbory do priečinkov, ktoré sa automaticky spúšťajú pri štarte systému, napríklad do priečinkov:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup(pre lokálneho používateľa)%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp(pre všetkých používateľov počítača)
Výsledkom je, že pri ďalšom prihlásení sa tieto škodlivé súbory automaticky spustia, čím útočníci získajú vzdialený prístup k počítaču obete a možnosť spustiť svoj kód. Je dôležité poznamenať, že zraniteľnosť nepostihuje unixové verzie WinRAR, UnRAR ani mobilnú verziu pre Android.
Keďže WinRAR zatiaľ nemá automatické aktualizácie, všetci používatelia by si mali čo najskôr manuálne stiahnuť a nainštalovať najnovšiu verziu z oficiálnej stránky win-rar.com, aby sa ochránili pred týmto typom útokov.
Na problém prišli v ESETe
Táto zraniteľnosť bola odhalená bezpečnostnými výskumníkmi z firmy ESET – Anton Čerepanov, Peter Košinár a Peter Strýček. Peter Strýček vo vyhlásení pre BleepingComputer potvrdil, že chyba sa už využíva v reálnych spearphishingových kampaniach, kde sa ako návnada používajú RAR archívy infikované týmto malvérom.
Malvér RomCom, tiež známy pod označeniami Storm-0978, Tropical Scorpius či UNC2596, je prepojený s ruskými hackerskými skupinami, ktoré sa špecializujú na vydieračské útoky ransomvérom, krádeže dát a zber prihlasovacích údajov. Táto skupina je známa aj tým, že pri útokoch často využíva zraniteľnosti typu zero-day a nasadzuje vlastné škodlivé nástroje na dlhodobý prístup k napadnutým systémom.
Medzi známe kampane skupiny RomCom patria útoky pomocou ransomvéru Cuba a Industrial Spy.ESET pripravuje podrobnú správu o tomto zneužívaní, ktorá bude zverejnená v najbližších dňoch.
Čo je potrebné urobiť?
Ak používate WinRAR a nemáte nainštalovanú aktuálnu verziu 7.13, ktorá exploit odstránila, tak vám radíme, aby ste tak čo najskôr urobili. Novú verziu si môžete stiahnuť na tomto odkaze.
