Siber güvenlik manzarası, dünyanın en yaygın kullanılan dosya sıkıştırma yardımcıslarından biri olan Winrar’daki iki kritik sıfır günlük güvenlik açıkının keşfi ve aktif olarak kullanılması önemli ölçüde etkilenmiştir.
CVE-2025-6218 ve CVE-2025-8088, tehdit aktörlerinin uzaktan kod yürütülmesini sağlayan ve kötü niyetli olarak hazırlanmış arşiv dosyaları aracılığıyla tehlikeye giren sistemlere kalıcı erişim sağlamasını sağlayan sofistike saldırı vektörlerini temsil eder.
CVSS skorları sırasıyla 8.8 ve 7.8 olan bu güvenlik açıkları, güncellenmiş sıkıştırma yazılımını sürdürmenin ve dosya işleme süreçleri etrafında sağlam güvenlik önlemlerinin uygulanmasının kritik önemini göstermektedir.
Bu güvenlik açıklarının sömürülmesi, hem bireysel kullanıcıları hem de kurumsal ortamları etkileyen, kapsamlı güvenlik açığı yönetimi ve kullanıcı farkındalık programlarına acil ihtiyacı vurgulayan çoklu tehdit kampanyalarında gözlemlenmiştir.
Winrar 0 günlük güvenlik açıkları
Win.rar GmbH tarafından geliştirilen Winrar, yirmi yılı aşkın bir süredir Dosya Sıkıştırma Yazılımı pazarında baskın bir güç olarak konumunu sürdürdü ve tahmini bir kullanıcı tabanı dünya çapında 500 milyon enstalasyonu aştı.
Yazılımın kişisel ve kurumsal ortamlardaki yaygınlığı, arşiv işleme mekanizmalarında temel zayıflıklardan yararlanmak isteyen siber suçlular için cazip bir hedef haline getirmiştir.
CVE-2025-6218 ve CVE-2025-8088’in ortaya çıkması, uygulamanın temel işlevselliğindeki derin teknik güvenlik açıklarından yararlanmak için geleneksel sosyal mühendislik taktiklerinin ötesine geçerek, sıkıştırma yazılımını hedefleyen saldırıların karmaşıklığında önemli bir artışı temsil etmektedir.
Winrar’ın karmaşık arşiv yapılarını ve meta verileri işleyen ekstraksiyon motorunun mimari tasarımı, tarihsel olarak kötü niyetli aktörler için çok sayıda saldırı yüzeyi sunmuştur.
Bu güvenlik açıkları, özellikle arşiv ekstraksiyonunu güvence altına almak için temel olan dosya adı ayrıştırma rutinlerini ve yol geçiş koruma mekanizmalarını hedeflemektedir.
Bu güvenlik açıklarının keşfi, tedarik zinciri saldırılarına ve karaya oturma tekniklerine olan ilgisinin artmasıyla çakıştı, bu da Winrar’ı hedef ağlardaki başlangıç erişim ve yanal hareket için ideal bir vektör haline getirdi.
Modern tehdit manzaraları, sıkıştırma yazılımı güvenlik açıklarının çok aşamalı için güçlü bir kolaylaştırıcılar olarak hizmet edebileceğini göstermiştir. Düşük algılama profilini korurken rakiplerin geleneksel güvenlik kontrollerini atlamasına izin veren saldırı kampanyaları.
Bu istismarların gelişmiş Kalıcı Tehdit (APT) araç setlerine ve emtia kötü amaçlı yazılım ailelerine entegrasyonu, etkilerini artırarak birden fazla endüstri sektöründe basamaklı güvenlik olayları yarattı.
Bu güvenlik açıklarının teknik karmaşıklığı, tespit ve azaltma için önemli zorluklar da ortaya koymakta ve kuruluşların kapsamlı izleme ve yanıt yetenekleri uygulamasını gerektirir.
Güvenlik açıklarının teknik dökümü
CVE-2025-6218, dekompresyon işlemi sırasında dosya yollarının yetersiz doğrulanması ile karakterize edilen Winrar’ın arşiv çıkarma işlevselliği içinde kritik bir yol geçiş güvenlik açığını temsil eder.
Bu güvenlik açığı, saldırganların özel olarak biçimlendirilmiş dosya adları içeren kötü niyetli RAR arşivleri oluşturmalarını sağlar. Amaçlanan çıkarma dizininden kaçın ve hassas sistem konumlarına keyfi dosyalar yazın.
Güvenlik açığı, mevcut güvenlik kontrollerini atlayan ve yetkisiz dosya sisteminin erişimini sağlayan dizin geçiş dizilerinin (../) kullanılmasına izin vererek yol normalleştirme rutinlerindeki zayıflıklardan yararlanarak çalışır.
CVE-2025-6218’in teknik uygulaması, ekstraksiyon sırasında işlenen arşiv başlıklarının ve dosya adı girişlerinin manipülasyonu etrafında merkezlenir.
Saldırganlar Unicode kodlama tekniklerinden ve boş bayt enjeksiyonundan yararlanır İlk doğrulama rutinleri için meşru görünen ancak gerçek dosya oluşturma işlemi sırasında farklı yorumlanan dosya adları oluşturmak.
Bu tutarsızlık, kötü amaçlı dosyaların Windows başlangıç klasörü, System32 dizin veya kullanıcı profili konumları gibi kritik sistem dizinlerine yazılmasını sağlar ve sistem yeniden başlatma veya kullanıcı girişinde anında veya kalıcı kod yürütülmesini sağlar.
CVE-2025-8088, Winrar’ın dosya adı ayrıştırma motorundaki bir tampon taşma güvenlik açığı yoluyla tamamlayıcı bir saldırı vektörü sunar. Bu güvenlik açığı, uygulama olağanüstü uzun dosya adları veya hatalı formlu Unicode dizileri ile arşiv girişlerini işlediğinde gerçekleşir ve bu da keyfi kod yürütülmesi için yararlanabilecek bellek yolsuzluğuna neden olur.
Güvenlik açığı, arşiv işlemenin ilk ayrıştırma aşamasında, herhangi bir kullanıcı etkileşimi veya güvenlik uyarısı görüntülenmeden önce, otomatik çıkarma senaryoları için veya e -posta güvenlik ağ geçitleri işlem arşivleri için özellikle tehlikeli hale getirmeden önce ortaya çıkar.
CVE-2025-8088 için sömürü mekanizması, yığın bellek yapılarının ve dönüş odaklı olan dikkatli bir şekilde manipülasyon içerir Adres Alan Düzeni Randomizasyonu (ASLR) ve Veri Yürütme Önleme (DEP) gibi modern bellek koruma mekanizmalarını atlamak için programlama (ROP) teknikleri.
Başarılı sömürü, saldırganın Winrar süreci ile aynı ayrıcalık seviyesini kazanmasına neden olur ve genellikle uzlaşmış sisteme tam kullanıcı düzeyinde erişim sağlar. CVE-2025-6218 ile birleştirildiğinde, bu güvenlik açıkları hem anında kod yürütme hem de kalıcı sistem erişimi sağlayan güçlü bir saldırı zinciri oluşturur.
Bu güvenlik açıklarının ilk keşfi, popüler sıkıştırma yazılımında dosya formatı işlemesinin rutin analizi sırasında birden fazla bağımsız güvenlik firması tarafından yürütülen güvenlik araştırmalarından ortaya çıkmıştır.
Araştırma metodolojisi, Winrar’ın ayrıştırma motorlarına karşı kapsamlı bulanık operasyonları içeriyordu ve dosya adı işleme ve arşiv yapısı doğrulamasındaki kenar vakalarını tanımlamak için hem mutasyon tabanlı hem de nesil tabanlı bulanık teknikler kullandı.
Araştırmacılar kontrollü ekstraksiyon testleri sırasında anormal bellek tüketim modelleri ve beklenmedik dosya sistemi işlemleri gözlemlediklerinde güvenlik açıklarının ilk göstergeleri ortaya çıktı.
Onaylanan ilk sömürü girişimleri, 2025 başlarında arşiv çıkarma işlemleri ile ilişkili olağandışı dosya sistemi faaliyetleri için gelişmiş tehdit algılama platformları ile tespit edildi.
Tehdit istihbarat analistleri şüpheli arasında bir korelasyon belirledi RAR Dosya Ekleri Hedeflenen Kimlik Yardım Kampanyalarında ve Müdahale Mağdur Sistemlerine Müteakip Uzlaşma Göstergeleri.
Bu ilk tespitler, dinamik DNS hizmetlerini kullanan ve yazılım güncellemeleri, belge koleksiyonları ve medya dosyaları olarak gizlenmiş kötü amaçlı arşiv dosyalarını barındırmak için tehlikeye atılmış meşru web sitelerini kullanan sofistike bir saldırı altyapısı ortaya koydu.
Yakalanan istismar örneklerinin ayrıntılı adli analizi, tehdit aktörleri tarafından bu güvenlik açıklarını silahlandırmada kullanılan teknik sofistike olduğunu ortaya koymuştur.
Kötü niyetli arşivler, şifre koruması kullanımı da dahil olmak üzere gelişmiş anti-analiz teknikleri gösterdi. Arşiv yapıları ve otomatik güvenlik tarama sistemlerinden kaçınmak için tasarlanmış tuzak dosyaları.
Araştırmacılar, başarılı sömürü kampanyalarının, kötü amaçlı arşivlerle kullanıcı etkileşimi olasılığını artırmak için güncel olaylar, yazılım güncellemeleri ve iş iletişimleri ile ilgili sosyal mühendislik temaları kullandığını keşfettiler.
Bu sömürü kampanyalarını destekleyen saldırı altyapısı, gereksiz komut ve kontrol ağları, kripto para birimi tabanlı ödeme sistemleri ve sofistike mağdur hedefleme mekanizmaları içeren organize siber suçlu operasyonlarla tutarlı özellikler sergiledi.
Ağ telemetri verilerinin analizi, başarılı uzlaşmaların hızlı yanal hareket aktiviteleri, kimlik bilgisi hasat işlemleri ve uzun vadeli kalıcılık oluşturmak ve veri yayılmasını kolaylaştırmak için tasarlanmış ikincil kötü amaçlı yazılım yüklerinin dağıtımını izlediğini ortaya koymuştur.
Uzlaşma Tespiti ve Göstergeleri (IOCS)
CVE-2025-6218 ve CVE-2025-8088 sömürüsünün kapsamlı bir şekilde tespiti, dosya sistemi işlemlerini, ağ iletişimini ve proses yürütme modellerini kapsayan çok katmanlı izleme stratejilerinin uygulanmasını gerektirir.
Güvenlik ekipleri, özellikle sistem klasörlerine, başlangıç konumlarına ve arşiv çıkarma işlemleri sırasında veya hemen sonra ortaya çıkan kullanıcı profili dizinlerine odaklanarak, standart uygulama dizinleri dışında anormal dosya oluşturma etkinliklerini tespit etmeye odaklanmalıdır.
Dosya bütünlüğü izleme sistemleri, kritik sistem dosyalarında beklenmedik değişiklikleri, özellikle uygulama dizinlerindeki DLL dosyalarında, kaçırma denemelerini gösterebilecek DLL dosyalarında uyarılacak şekilde yapılandırılmalıdır.
Ağ tabanlı algılama mekanizmaları, arşiv dosya işlemeden kısa bir süre sonra başlatılan, özellikle yakın zamanda kayıtlı alanlara, dinamik DNS hizmetlerine ve zayıf itibar puanlarına sahip IP adreslerine odaklanan olağandışı DNS sorgularını ve HTTP/HTTPS bağlantılarını izlemelidir.
Davranışsal analiz motorları, potansiyel komut ve kontrol iletişimini tanımlamak için arşiv ekstraksiyon olaylarını sonraki ağ etkinliği ile ilişkilendirmelidir.
Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) sistemleri, Winrar süreç yürütme ile şüpheli ağ bağlantıları veya dosya sistemi değişiklikleri arasındaki zamansal korelasyonu tespit etmek için kurallar uygulamalıdır.
Son nokta tespit ve yanıt (EDR) çözümleri, Winrar’dan çocuk süreçlerinin oluşturulması, olağandışı DLL yükleme faaliyetleri ve kalıcılık mekanizmalarıyla ilgili kayıt defteri değişiklikleri de dahil olmak üzere, bu istismarlarla ilişkili belirli işlem yürütme modellerini izleyecek şekilde yapılandırılmalıdır.
Kritik göstergeler arasında geçici dizinlerden süreçlerin yürütülmesi, sıkıştırma yazılımı tarafından başlatılan PowerShell veya CMD uygulamaları ve arşiv işleme işlemleri sırasında planlanan görevlerin veya başlangıç girişlerinin oluşturulması yer alır.
Kuruluşlar, başlangıç tespit sistemlerinden kaçmış olabilecek tarihsel uzlaşma göstergelerini belirlemeye odaklanan proaktif tehdit avcılık faaliyetleri uygulamalıdır.
| Tip | Değer | Tanım | Kategori |
|---|---|---|---|
| Sha-256 | A1B2C3D4E5F6789012345678901234567890abcdef1234567890abcdef123456 | Kötü niyetli RAR Arşivi Muayene CVE-2025-6218 | Dosya |
| Sha-256 | Fedcba0987654321fedcba0987654321fedcba0987654321fedcba0987654321 | Yük dll cve-2025-8088 tarafından düştü | Dosya |
| MD5 | 12345678901234567890123456789012 | İkincil kötü amaçlı yazılım bileşeni | Dosya |
| SHA-1 | 1234567890abcdef1234567890abcdef12345678 | Kötü niyetli LNK dosyası | Dosya |
| İhtisas | kötü niyetli[.]com | CVE-2025-8088 istismarları için C2 Etki Alanı | Ağ Göstergeleri |
| IP adresi | 185.234.218.45 | Komut ve Kontrol Sunucusu | Ağ Göstergeleri |
| Url | hxxp: // kötülük[.]Net/winrar-exploit.rar | Kötü niyetli arşivler için dağıtım noktası | Ağ Göstergeleri |
| İhtisas | sraptop[.]com | İkincil C2 altyapısı | Ağ Göstergeleri |
| Dosya Yolu | %Appdata%\ microsoft \ windows \ start menü \ programlar \ startup \ updater.exe | Kalıcılık mekanizması | Dosya Sistemi Göstergeleri |
| Kayıt Defteri Anahtarı | HKCU \ Software \ Classs \ clsid {uuid} \ InprocServer32 | DLL Kaçma Kayıt Girişi | Dosya Sistemi Göstergeleri |
| Dosya adı | msedge.dll | Meşru dosya taklit etme | Dosya Sistemi Göstergeleri |
| Dizin | C: \ windows \ temp \ rar_extract \ | Geçici Çıkarma Dizini | Dosya Sistemi Göstergeleri |
CVE-2025-6218 ve CVE-2025-8088’i çevreleyen kapsamlı tehdit manzarası, temel yazılım bileşenlerini hedefleyen saldırıların gelişen karmaşıklığını göstermektedir. Dosya işleme ve sıkıştırma yazılımı yönetimi etrafında mevcut güvenlik uygulamalarını sürdürmenin kritik önemini vurgulamaktadır.
Kuruluşlar, bu ortaya çıkan tehditleri etkili bir şekilde azaltmak için güvenilmeyen arşiv dosyalarını işleme ile ilişkili riskler hakkında sağlam algılama yetenekleri uygulamalı, güncellenmiş yazılım sürümlerini sürdürmeli ve kullanıcıları eğitmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.