HackerNews

HackerNews
​​WinRAR 零日漏洞遭活跃利用,用户应立即升级至 7.13 版​

​​WinRAR 零日漏洞遭活跃利用,用户应立即升级至 7.13 版​

作者: hackernews 日期: 2025-08-12 分类: 网络安全, 漏洞
给文章评分:

HackerNews 编译,转载请注明出处:

WinRAR文件压缩工具的维护者已发布更新,修复一个被积极利用的零日漏洞。该漏洞编号为CVE-2025-8088(CVSS评分:8.8),被描述为影响该工具Windows版本的路径遍历缺陷,攻击者可制作恶意存档文件利用该漏洞实现任意代码执行。

WinRAR在公告中表示:“解压文件时,旧版WinRAR(包括Windows版RAR、UnRAR、便携式UnRAR源代码及UnRAR.dll)可能被诱骗采用特制存档中定义的路径,而非用户指定路径。”ESET研究人员Anton Cherepanov、Peter Košinár和Peter Strýček因发现并报告该安全缺陷获得致谢,漏洞已在2025年7月31日发布的WinRAR 7.13版中修复。

目前尚不清楚该漏洞在真实攻击中如何被武器化及攻击者身份。2023年,另一个WinRAR漏洞(CVE-2023-38831,CVSS评分:7.8)曾遭中俄多股威胁力量大量利用,包括零日攻击。俄罗斯网络安全供应商BI.ZONE上周报告称,有迹象表明被追踪为Paper Werewolf(又名GOFFEE)的黑客组织可能同时利用了CVE-2025-8088和CVE-2025-6218(2025年6月修复的WinRAR Windows版目录遍历漏洞)。值得注意的是,攻击发生前,2025年7月7日,名为“zeroplayer”的威胁行为体在俄语暗网论坛Exploit.in上以8万美元标价兜售所谓的WinRAR零日漏洞利用程序。怀疑Paper Werewolf组织可能购得该利用程序并发动攻击。

WinRAR在针对CVE-2025-6218的警报中说明:“旧版WinRAR及相关组件中,包含任意代码的特制存档可在解压过程中操控文件路径。利用此漏洞需用户交互,可能导致文件写入预期目录之外。攻击者可借此将文件植入敏感位置(如Windows启动文件夹),最终可能导致系统下次登录时意外执行代码。”据BI.ZONE描述,攻击者于2025年7月通过携带陷阱存档的网络钓鱼邮件针对俄罗斯组织,触发CVE-2025-6218及可能的CVE-2025-8088漏洞,实现非目标目录文件写入和代码执行,同时向受害者展示诱饵文档作为干扰。

BI.ZONE解释:“漏洞成因在于创建RAR存档时可包含含相对路径的备用数据流文件。这些数据流可携带任意有效载荷。解压此类存档或直接从存档打开附件时,备用数据流会被写入磁盘任意目录,形成路径遍历攻击。”该漏洞影响WinRAR 7.12及更早版本,7.13版已彻底修复。

攻击中使用的恶意负载之一是.NET加载程序,其设计目的是将系统信息发送至外部服务器并接收加密.NET程序集等额外恶意软件。BI.ZONE补充:“Paper Werewolf使用C#加载程序获取受害者计算机名,将其嵌入生成链接发送至服务器以获取有效载荷。该组织通过反向Shell中的套接字与控制服务器通信。”

RomCom组织同步利用漏洞

斯洛伐克安全公司ESET观察到亲俄组织RomCom将CVE-2025-8088作为零日漏洞利用,这是该组织继CVE-2023-36884(2023年6月)、CVE-2024-9680和CVE-2024-49039(2024年10月)后第三次使用零日漏洞。研究人员确认:“成功利用尝试投放了RomCom组织使用的多种后门,包括SnipBot变种、RustyClaw和Mythic代理。此轮攻击针对欧洲和加拿大的金融、制造、国防及物流企业。”

攻击利用的恶意存档包含一个良性文件及多个用于路径遍历的备用数据流(ADS)。邮件使用简历主题诱骗收件人打开附件。解压存档会触发恶意DLL执行,同时攻击者在Windows启动目录设置快捷方式(LNK)文件实现用户登录时持久化。该DLL负责解密嵌入式Shellcode,为后续部署Mythic代理(SnipBot/SingleCamper变种)和RustyClaw铺路。RustyClaw会获取并执行另一有效载荷——名为MeltingClaw(又名DAMASCENED PEACOCK)的下载器,该程序曾用于投放ShadyHammock或DustyHammock后门。

ESET表示,尽管遥测数据显示无目标沦陷,但此事表明RomCom已持续进化为能吸纳零日漏洞进行定向攻击的成熟威胁力量。“通过利用WinRAR未知零日漏洞,RomCom组织证明其愿投入大量精力和资源开展网络行动。攻击目标行业符合亲俄APT组织的典型利益版图,暗示行动存在地缘政治动机。”

7-Zip修复任意文件写入漏洞

本次披露恰逢7-Zip修复安全漏洞(CVE-2025-55188,CVSS评分:2.7),该漏洞因工具处理符号链接的方式可能被滥用于任意文件写入,进而导致代码执行。问题已在25.01版修复。在可能的攻击场景中,威胁行为体可利用该漏洞篡改敏感文件(如覆盖用户SSH密钥或.bashrc文件)实现未授权访问或代码执行。攻击主要针对Unix系统,但满足额外条件时也可适配Windows。安全研究员“lunbun”指出:“Windows系统上,7-Zip解压进程需具备创建符号链接的权限(例如使用管理员权限解压、Windows处于开发者模式等)。”

 

 

 

消息来源:thehackernews

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文