یک آسیبپذیری اخیرا برطرفشده در WinRAR با شناسه CVE-2025-8088 بهصورت روز-صفر در حملات فیشینگ برای نصب بدافزار RomCom مورد سوءاستفاده قرار گرفته است. این نقص، یک آسیبپذیری پیمایش دایرکتوری(directory traversal) است که در نسخه WinRAR 7.13 برطرف شده و به آرشیوهای خاص طراحیشده اجازه میدهد فایلها را به مسیری که توسط مهاجم انتخاب شده استخراج کنند.
جزئیات آسیبپذیری WinRAR
بر اساس گزارش تغییرات نسخه WinRAR 7.13، نسخههای قبلی WinRAR، نسخههای ویندوزی RAR، UnRAR، کد منبع قابلحمل UnRAR و کتابخانه UnRAR.dll میتوانند فریب داده شوند تا بهجای مسیر مشخصشده توسط کاربر، از مسیری که در یک آرشیو خاص تعریف شده استفاده کنند. نسخههای یونیکسی RAR، UnRAR، کد منبع قابلحمل UnRAR، کتابخانه UnRAR و همچنین RAR برای Android تحت تأثیر این آسیبپذیری قرار ندارند.
با استفاده از این آسیبپذیری، مهاجمان میتوانند آرشیوهایی ایجاد کنند که فایلهای اجرایی را به مسیرهای خودکار مانند پوشههای راهاندازی ویندوز استخراج کنند، از جمله:
• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (دسترسی محلی کاربر)
• %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (در سطح سیستم)
در ورود بعدی کاربر، فایل اجرایی بهطور خودکار اجرا میشود و به مهاجم امکان اجرای کد از راه دور را میدهد.
توصیه امنیتی
از آنجا که WinRAR قابلیت بهروزرسانی خودکار ندارد، به همه کاربران اکیدا توصیه میشود که آخرین نسخه را از وبسایت win-rar.com بهصورت دستی دانلود و نصب کنند تا از این آسیبپذیری محافظت شوند.
سوءاستفاده از CVE-2025-8088 بهصورت روز صفر
این نقص توسط Anton Cherepanov، Peter Košinár و Peter Strýček از شرکت ESET کشف شد. Strýček به BleepingComputer گزارش داد که این آسیبپذیری بهصورت فعال در حملات فیشینگ برای نصب بدافزار مورد سوءاستفاده قرار گرفته است.
محققان ESET مشاهده کردند که ایمیلهای فیشینگ هدفمند حاوی فایلهای RAR از این آسیبپذیری برای تحویل بکدورهای RomCom استفاده کردهاند. RomCom (که با نامهای Storm-0978، Tropical Scorpius یا UNC2596 نیز شناخته میشود) یک گروه هکری مرتبط با روسیه است که به حملات باجافزاری، سرقت داده برای اخاذی و کمپینهای متمرکز بر سرقت اطلاعات ورود به سیستم شناخته شده است. این گروه به استفاده از آسیبپذیریهای روز-صفر در حملات و بهرهگیری از بدافزارهای سفارشی برای سرقت داده، پایداری و ایجاد بکدور معروف است. RomCom پیشتر با عملیات باجافزاری مانند Cuba و Industrial Spy مرتبط بوده است.
شرکت ESET در حال تهیه گزارشی درباره این سوءاستفاده است که در آینده منتشر خواهد شد.
