El mantenedor de utilidad del archivo de archivos de Winrar ha publicado una actualización para abordar la vulnerabilidad de día cero explotada activamente.
Rastreado como CVE-2025-8088 (puntaje CVSS: 8.8), este problema se describe como un caso de recorrido pasado que afecta la versión de Windows de las herramientas que se pueden explotar para crear archivos de archivo maliciosos y obtener la ejecución de código arbitraria.
«Al extraer archivos, las versiones anteriores de Winrar, RAR, UNRAR, Portable UNRAR y Windows de dll.dll lo engañarán utilizando rutas definidas en un archivo especialmente creado en lugar de la ruta especificada», dijo Winrar en su asesoramiento.
Anton Cherepanov, Peter Kosinar y Peter Strycek de Eset han sido admitidos por descubrir e informar fallas de seguridad abordadas en Winrar versión 7.13, lanzadas el 31 de julio de 2025.
Actualmente, no sabemos cómo se arman las vulnerabilidades en los ataques del mundo real. En 2023, otra vulnerabilidad que afecta a Winrar (CVE-2023-38831, puntaje CVSS: 7.8) fue sometido a una intensa explotación, incluidos los días cero, por múltiples actores de amenazas en China y Rusia.
El proveedor de ciberseguridad ruso Bi.zone dijo en un informe publicado la semana pasada que hubo indicios de que el grupo de piratería rastreado como Werewolf (alias Goffee) puede haber venido junto a CVE-2025-6218 junto con CVE-2025-8088, junto con CVE-2025-6218, la versión en ventana de la versión de ventana de CVE-2025-6218.
Antes de estos ataques, es importante tener en cuenta que los anuncios fueron descubiertos el 7 de julio de 2025 por los actores de amenaza identificados como «Zeroplayer». Se sospecha que el actor de hombres lobo de papel lo adquirió y lo usó en el ataque.
«En versiones anteriores de Winrar, así como el código fuente portátil de UNRAR para RAR, Urrar, Urrar.dll y Windows, puede usar archivos especialmente escritos que contienen código arbitrario durante la extracción para manipular las rutas de archivos durante la extracción».
«Para explotar esta vulnerabilidad, se requiere la interacción del usuario y los archivos podrían escribirse fuera del directorio previsto. Este defecto podría explotarse para colocar archivos en ubicaciones confidenciales, como las carpetas de inicio de Windows.
Los ataques per bi.zone atacaron a las organizaciones rusas en julio de 2025, lo que provocó CVE-2025-6218 en el lanzamiento, lo que provocó CVE-2025-80888, escribiendo archivos fuera del directorio objetivo, logra la ejecución del código, pero el documento DICOY se presenta como un víctima.
«La vulnerabilidad se relaciona con el hecho de que cuando crea un archivo RAR, puede incluir archivos que contienen flujos de datos alternativos. El nombre contiene rutas relativas». «Estas transmisiones pueden contener cualquier carga útil. Si desempaquete dicho archivo o abre archivos adjuntos directamente desde el archivo, los datos de la secuencia alternativa se escribirán en cualquier directorio en el disco. Este es un ataque transversal del directorio».
«La vulnerabilidad afecta las versiones de Winrar hasta 7.12. A partir de la versión 7.13, esta vulnerabilidad ya no se reproduce».
Una de las cargas útiles maliciosas en cuestión es un cargador .NET diseñado para enviar información del sistema a un servidor externo y recibir malware adicional que contiene ensamblajes de .NET cifrados.
«Paper Werewolf usa un cargador C# para recuperar el nombre de la computadora de la víctima y enviarlo al enlace al servidor con el enlace generado para obtener la carga útil», agregó la compañía. «Paper Werewolf usa enchufes de shell inverso para comunicarse con el servidor de control».
Source link
