Winrar’da, siber suçluların ROMCOM kötü amaçlı yazılımlarını dağıtmak için sofistike kimlik avı kampanyaları aracılığıyla aktif olarak sömürdüğü kritik bir sıfır gün kırılganlığı tespit edilmiştir.
CVE-2025-8088 olarak adlandırılan kusur, CVSS V3.1 puanı 8.4 ile önemli bir güvenlik tehdidini temsil ederek saldırganların kötü niyetli arşiv dosyaları aracılığıyla mağdurların sistemleri üzerinde keyfi kod yürütmesini sağlıyor.
Key Takeaways
1. WinRAR vulnerability lets attackers plant malware through malicious archives.
2. Criminals exploit this via phishing to deploy RomCom malware on Windows systems.
3. Update to WinRAR 7.13 immediately.
Yol geçiş kusuru vahşi doğada sömürüldü
Güvenlik açığı, Winrar’ın RAR, Unrar, Taşınabilir UNRAR kaynak kodu ve Unrar.dll bileşenleri dahil Windows sürümlerini etkileyen bir dizin geçiş zayıflığından kaynaklanmaktadır.
Kullanıcılar özel olarak hazırlanmış arşivlerden dosyaları çıkardıklarında, kötü amaçlı yük yükü, kullanıcının tarafından belirlenen hedef yolları atlayarak dosyaları istenmeyen sistem konumlarına yerleştirmek için çıkarma işlemini değiştirebilir.
ESET güvenlik araştırmacıları Anton Cherepanov, Peter Košinár ve Peter Strýček bu kritik kusuru keşfettiler ve gerçek dünya saldırılarındaki aktif sömürüsünü doğruladılar.
Güvenlik açığı, tehdit aktörlerinin, kötü niyetli arşivlerin meşru çıkarma hedeflerini geçersiz kılan gömülü dosya yolları içerdiği bir yol geçiş saldırısı uygulamasına izin verir.
Bu teknik, saldırganların yürütülebilir dosyaları hassas sistem dizinlerine yerleştirmelerini sağlayarak potansiyel olarak ayrıcalık artışı ve uzlaşmış sistemlerde kalıcılık mekanizmalarına ulaşmasını sağlar.
Sömürü metodolojisi, dosya yolu doğrulama baypasından yararlanan manipüle edilmiş dizin yapılarıyla arşivlerin hazırlanmasını içerir.
Mağdurlar bu arşivleri savunmasız Winrar sürümlerini kullanarak çıkardıklarında, kötü amaçlı yazılım ek kullanıcı etkileşimi gerektirmeden otomatik olarak yürütülür ve bu da şüpheli olmayan kullanıcılar için özellikle tehlikelidir.
Siber suçlular, bu sıfır gün güvenlik açığını, özellikle Romcom kötü amaçlı yazılımlarını hedeflenen kimlik avı kampanyaları aracılığıyla dağıtmak için silahlandırdılar.
Saldırı zinciri tipik olarak, mağdurların e -posta ekleri veya kötü amaçlı indirme bağlantıları aracılığıyla meşru görünüşte sıkıştırılmış dosyalar aldığı sosyal mühendislik taktikleriyle başlar.
Bu arşivler, meşru belgeler veya yazılım yükleyicileri olarak gizlenmiş ROMCOM yükünü içerir.
ROMCOM kötü amaçlı yazılım kampanyası, Winrar güvenlik açığını bir başlangıç erişim vektörü olarak kullanan sofistike Apt tarzı taktikler sergiliyor.
Başarılı bir şekilde konuşlandırıldıktan sonra, kötü amaçlı yazılım komuta ve kontrol iletişimini kurar ve tehdit aktörlerinin uzlaşmış ağlarda keşif, yanal hareket ve veri söndürme faaliyetlerini gerçekleştirmesini sağlar.
Güvenlik analistleri, bu saldırı vektörünün özellikle etkili olduğunu, çünkü sıkıştırılmış arşivler iş ortamlarında yaygın olarak paylaşıldığını ve algılamayı çıkarmadan önce arşiv içeriğini kapsamlı bir şekilde incelemeyebilecek geleneksel güvenlik çözümleri için zorlaştırıyor.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | – Winrar- Windows sürümleri- Taşınamayan Unrar Kaynak Kodunun Rar- Windows sürümleri- Unrar.dll |
| Darbe | Keyfi kod yürütme |
| Önkoşuldan istismar | – Kullanıcı özel olarak hazırlanmış bir kötü amaçlı arşiv- sosyal mühendislik (kimlik avı e-postaları/kötü amaçlı indirmeler) çıkarmalıdır- Çıkarma işleminden sonra ek kullanıcı etkileşimi gerekmez |
| CVSS 3.1 puanı | 8.4 (Yüksek) |
Hafifletme
Winrar geliştiricileri, 30 Temmuz 2025’te yayınlanan 7.13 sürümünde bu kritik güvenlik açığını ele aldı.
Güvenlik Yaması, Winrar 7.12’de ele alınan önceki güvenlik açığından farklı olan dizin geçiş kusurunu özellikle düzeltir.
Daha da önemlisi, RAR, UNRAR, Taşınabilir UNRAr kaynak kodu, UNRAR kitaplığı ve Android için RAR’ın UNIX sürümleri, bu pencerelere özgü güvenlik açığından etkilenmez.
Kuruluşlar ve bireysel kullanıcılar, sömürü risklerini azaltmak için derhal Winrar 7.13 veya sonraki sürümlere güncellemelidir.
Önerilen ek koruyucu önlemler, ekstraksiyondan önce güncellenmiş uç nokta algılama çözümlerine sahip sıkıştırılmış dosyaların taranması ve potansiyel saldırı yüzeylerini en aza indirmek için kurumsal ortamlardaki arşiv taşıma ayrıcalıklarını kısıtlamak yer alır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın