W popularnym narzędziu do archiwizacji plików WinRAR wykryto poważną lukę bezpieczeństwa. Została oceniona na 8.8 w skali CVSS i otrzymała oznaczenie CVE-2025-8088. Błąd dotyczy wersji przeznaczonych dla systemu Windows i wynika z podatności typu path traversal. W praktyce oznacza to, że złośliwie spreparowane archiwum RAR może zapisywać pliki w innych lokalizacjach niż wskazana przez użytkownika, co otwiera drogę do umieszczenia złośliwego oprogramowania w krytycznych katalogach systemu, np. w folderze autostartu. Dzięki temu malware może uruchamiać się automatycznie po restarcie systemu.
Odkrycie podatności
Odkrycia dokonali specjaliści z firmy ESET https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/) – Anton Cherepanov, Peter Košinár oraz Peter Strýček. Po zgłoszeniu problemu twórcom aplikacji 16 lipca, reakcja producenta była szybka – już 30 lipca 2025 roku opublikowano aktualizację WinRAR 7.13, usuwającą lukę. Co istotne, WinRAR nie aktualizuje się automatycznie, więc użytkownicy muszą ręcznie pobrać i zainstalować nową wersję.
Według ustaleń ESET podatność była już aktywnie wykorzystywana w atakach typu spear phishing. Przestępcy rozsyłali e-maile z załącznikami w formacie RAR, często imitującymi dokumenty takie jak CV. Archiwa zawierały specjalnie przygotowane pliki, które po rozpakowaniu mogły instalować złośliwe oprogramowanie w sposób niewidoczny dla ofiary. W niektórych kampaniach stosowano także alternatywne strumienie danych (ADS), by dodatkowo ukryć złośliwy kod.
Działania grup przestępczych
Za część działań odpowiadała grupa RomCom, znana również jako Storm-0978, Tropical Scorpius czy UNC2596, powiązana z interesami rosyjskimi. Jej celem były organizacje z sektorów finansowego, obronnego, logistycznego i produkcyjnego w Europie i Kanadzie. Innym podmiotem, który mógł już wykorzystać CVE-2025-8088, jest grupa Paper Werewolf (alias GOFFEE). Według raportu BI.ZONE mogła ona stosować tę podatność równolegle z inną luką – CVE-2025-6218 – w atakach na rosyjskie organizacje.
Ciekawy jest fakt, że już 7 lipca 2025 roku użytkownik o pseudonimie „zeroplayer” wystawił na sprzedaż na rosyjskim forum Exploit.in działający exploit na CVE-2025-8088 za kwotę 80 tysięcy dolarów. Istnieje prawdopodobieństwo, że to właśnie w ten sposób część grup cyberprzestępczych weszła w jego posiadanie.
W trakcie ataków obserwowano instalowanie różnych narzędzi zdalnego dostępu, w tym SnipBot, RustyClaw i agenta frameworka Mythic, które umożliwiały wykonywanie poleceń, komunikację z serwerami dowodzenia (C2) i pobieranie dodatkowych komponentów malware. Na szczęście – według ESET – ataki zostały wykryte we wczesnej fazie, zanim udało się przejąć kontrolę nad systemami docelowych organizacji.
ESET przedstawił też schemat ataku i infekcji exploita Mythic Agent, który korzystał już z podatności w WinrRAR:
Podsumowanie
Specjaliści ds. bezpieczeństwa apelują, by niezwłocznie zaktualizować WinRAR do wersji 7.13 lub nowszej. Zalecają także wzmożoną czujność wobec podejrzanych wiadomości e-mail z załącznikami RAR oraz monitorowanie logów i ruchu sieciowego pod kątem nietypowych połączeń. Wdrożenie wielowarstwowej ochrony – obejmującej filtry antyphishingowe, systemy EDR, segmentację sieci i kontrolę uruchamiania aplikacji – może znacząco utrudnić skuteczność tego typu kampanii. Omawiana podatność w WinRAR to kolejny przykład na to, jak nawet pozornie proste narzędzia użytkowe mogą stać się wektorem zaawansowanych ataków. Dwa lata temu opisaliśmy bardzo podobny przypadek z wykorzystaniem starszej dziury w WinRAR. W środowisku, w którym cyberprzestępcy coraz częściej łączą techniczne exploity z wyrafinowaną socjotechniką, szybkie aktualizacje i odpowiednia higiena cyberbezpieczeństwa stają się kluczowe dla ochrony organizacji i użytkowników indywidualnych.