Sari la conținut
Înapoi la blog

CVE-2025-8088: Cum RomCom a exploatat o vulnerabilitate zero-day în WinRAR – Detalii, impact și recomandări

În iulie–august 2025, cercetătorii de la ESET au descoperit o vulnerabilitate zero-day gravă în WinRAR, identificată ca CVE-2025-8088.

Zebrabyte
Securitate

1. Introducere

În iulie–august 2025, cercetătorii de la ESET au descoperit o vulnerabilitate zero-day gravă în WinRAR, identificată ca CVE-2025-8088.

Aceasta a fost exploatată în atacuri extrem de bine țintite de către grupul RomCom și ulterior de Paper Werewolf, folosind campanii de spear-phishing împotriva companiilor din Europa și Canada.

Deși WinRAR este perceput ca un simplu instrument de arhivare, el rulează cod pe mașina utilizatorului, ceea ce înseamnă că o vulnerabilitate de acest tip poate fi folosită pentru execuție arbitrară de cod și compromiterea completă a unui sistem.

2. Detalii tehnice ale vulnerabilității

2.1 Ce este CVE-2025-8088

  • Tip vulnerabilitate: Path Traversal + exploatarea Alternate Data Streams (ADS).
  • Scor CVSS: 8.8 (High).
  • Versiuni afectate: Toate versiunile WinRAR până la 7.12 inclusiv.
  • Versiuni sigure: WinRAR 7.13 și ulterioare.

2.2 Cum funcționează exploatarea

  1. Atacatorul creează o arhivă RAR special construită.
  2. În arhivă se află:
    • un fișier aparent legitim (ex.: „CV.docx”)
    • fișiere ascunse în Alternate Data Streams (ex.: payload.dll:stream)
  3. La extragere, WinRAR este păcălit să plaseze aceste fișiere în:
    • %TEMP%
    • sau folderul Startup (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup)
  4. La următoarea logare, payload-ul rulează automat, acordând atacatorului acces persistent.

2.3 Punctul cheie al vulnerabilității

  • WinRAR nu verifica corect calea fișierului la extragere.
  • ADS-urile erau tratate ca fișiere obișnuite, fără filtrare de path traversal.

3. Cronologia incidentului

Data

Eveniment

4. Actorii implicați

4.1 RomCom (Storm-0978 / UNC2596)
  • Grup de APT asociat intereselor pro-ruse.
  • Specializat în atacuri asupra infrastructurii critice, logisticii și apărării.
  • Payload-uri folosite:
    • SnipBot – RAT pentru control de la distanță.
    • RustyClaw – backdoor modular.
    • Mythic agent – framework post-exploitation.

4.2 Paper Werewolf (Goffee)

  • Grup suspectat că a cumpărat exploit-ul (~80.000 USD pe darknet).
  • L-a folosit în atacuri asupra organizațiilor ruse, combinat cu CVE-2025-6218.

5. Vectorii de atac

5.1 Metoda principală: spear-phishing

  • Email-uri personalizate cu subiecte de recrutare sau oferte de parteneriat.
  • Atașamente RAR mascate ca CV-uri sau documente comerciale.

5.2 Exploatarea post-intrare

  • Payload-urile extrase creează persistență.
  • Se stabilesc conexiuni C2 către servere externe controlate de atacatori.
  • Datele sunt exfiltrate în mod gradual, pentru a evita detecția.

6. Indicatori de Compromitere (IoCs)

Fișiere suspecte:

  • .lnk necunoscute în Startup.
  • DLL-uri necunoscute în %TEMP% sau %LOCALAPPDATA%.

Activitate rețea:

  • Domenii noi cu TTL scurt.
  • Trafic criptat către IP-uri din afara regiunii țintă.

7. Impact

  • Compromiterea completă a sistemelor țintă.
  • Posibilă propagare laterală în rețelele interne.
  • Acces la date sensibile (documente, email-uri, baze de date).

8. Recomandări de securitate

8.1 Măsuri imediate

  1. Update WinRAR la versiunea 7.13+ pe toate sistemele.
  2. Scanare completă cu soluții AV/EDR actualizate.
  3. Blocare executabilelor din foldere temporare.

8.2 Prevenție pe termen lung

  • Implementarea sandboxing pentru deschiderea arhivelor necunoscute.
  • Restricționarea macro-urilor și scripturilor auto-run.
  • Campanii regulate de awareness împotriva spear-phishing-ului.

9. Concluzie

Incidentul CVE-2025-8088 demonstrează cum un utilitar folosit zilnic poate deveni un vector critic de atac.

Reacția rapidă – aplicarea patch-ului și instruirea personalului – este singura cale de a preveni compromiterea în lanț.