Winrar’daki sıfır günlük güvenlik açığı, kötü amaçlı yazılımların şüphesiz kullanıcıların sistemlerine konuşlandırılmasına izin vererek popüler yazılıma devam eden tehditleri vurgular.
CVE-2025-8088 olarak izlenen bu yol geçiş kusuru, yaygın olarak kullanılan dosya arşivleme aracının Windows sürümünü etkiler ve saldırganların özel hazırlanmış arşivler aracılığıyla keyfi kod yürütmesini sağlar. 2025 Temmuz ortalarında keşfedilen güvenlik açığı, sofistike kimlik avı kampanyaları çağında gecikmiş yama risklerinin altını çiziyor.
Sorun, çıkarma sırasında dosya yollarının yanlış işlenmesinden kaynaklanarak, kötü amaçlı arşivlerin dosyaları Windows başlangıç klasörleri gibi yetkisiz konumlara yerleştirmesine izin verir.
Alternatif veri akışlarından (AD’ler) yararlanarak, saldırganlar, çıkarma üzerine sessizce dağıtılan görünüşte iyi huylu RAR dosyalarında zararlı yükleri gizleyebilir.
Bu teknik, kullanıcı tanımlı yolları atlar ve potansiyel olarak bir sonraki girişte uzaktan kod yürütülmesine yol açar. RAR ve ilgili araçların UNIX sürümleri etkilenmez, ancak 7.13’ten önceki Winrar sürümlerinin Windows kullanıcıları yüksek risk altındadır.
Sömürü en az iki tehdit grubuna bağlanmıştır. Rusya’ya uyumlu Romcom (Storm-0978 olarak da bilinir), 18-21 Temmuz 2025 yılları arasında Avrupa ve Kanada’daki finans, üretim, savunma ve lojistik sektörlerini hedefleyen saldırılar başlattı.
İş başvuru sahipleri olarak poz verdikleri için, özgeçmiş olarak gizlenmiş kötü niyetli RAR ekleri ile kimlik avı e -postaları, snipbot, rustyclaw ve mit ajanları gibi arka planlar dağıtımlar ve veri söndürme için dağıttılar.
Bu arada, Westwolf Grubu (diğer adıyla Goffee) makalesi, Rus örgütlerine karşı kusurdan yararlandı ve bir araştırma enstitüsünden resmi iletişimleri taklit etti. Kanıtlar, istismarın Haziran 2025’in sonlarında 80.000 $ karşılığında karanlık bir web forumunda satılmış olabileceğini ve birden fazla aktör tarafından hızlı bir şekilde benimsenmesini açıkladığını gösteriyor.
Winrar Zero-Day Path Traversal Soleed
ESET araştırmacıları ilk olarak bir RAR arşivinde şüpheli bir DLL’nin analizi sırasında 18 Temmuz 2025’te sıfır gününü tespit ettiler. 24 Temmuz’da Winrar geliştiricilerini bilgilendirdiler ve 7.13 sürümünde Swift Fix’i başlatarak 30 Temmuz 2025’te piyasaya sürüldü.
Yama, manipüle edilmiş ekstraksiyon yollarını önleyerek yol geçiş mekanizmasını ele alır. Bu, Romcom’un CVE-2023-36884 ve CVE-2024-49039’un istismarlarını takiben son yıllarda üçüncü sıfır gün istismarını işaret ediyor.
Winrar, Winrar hakkında yardım> ve resmi kaynaklardan indirme yoluyla sürümler için bir otomatik güncelleme kontrolüne sahip olmadığından, kullanıcıların hemen güncellenmesi istenir.
Kuruluşlar, % sıcaklık % veya başlangıç dizinlerinde beklenmedik dosyalar gibi uzlaşma göstergeleri için taramalı ve RAR eklerini engellemek için e -posta filtrelemesini geliştirmelidir.
Bu olay, iş iletişimindeki sıkıştırılmış dosyaların tehlikelerini vurgulamaktadır ve CVSS puanları yüksek etkisi için kusur 8.8 ile derecelendiriyor.
Çevrimiçi olarak dolaşan bir gösteri videosu, uzmanlar doğrulanmamış kaynaklara karşı dikkatli olsa da, istismarın mekaniğini göstermektedir.
15 Ağustos 2025 itibariyle, hedeflenen kimlik avı ötesinde yaygın bir saldırı bildirilmemiştir, ancak güvenlik açığının kamu açıklaması taklitçi kampanyalarına ilham verebilir. Dikkat ve hızlı yama, bu tür gelişen tehditlere karşı kilit savunmalar olmaya devam etmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.