Winrar Dosya Arşivleme Yardımcı Programı’nın bakımları, aktif olarak sömürülen sıfır gün güvenlik açığını ele almak için bir güncelleme yayınladı.
CVE-2025-8088 (CVSS puanı: 8.8) olarak izlenen sorun, kötü niyetli arşiv dosyaları hazırlayarak keyfi kod yürütülmesi için kullanılabilecek aracın Windows sürümünü etkileyen bir yol geçiş örneği olarak tanımlanmıştır.
Winrar, “Bir dosyayı, Winrar’ın önceki sürümleri, RAR, UNRAR, taşınabilir Unrar kaynak kodu ve unrar.dll’in Windows sürümleri, belirli bir yol yerine özel olarak hazırlanmış bir arşivde tanımlanan bir yol kullanarak kandırılabilir.” Dedi.
ESET’ten Anton Cherepanov, Peter Kosinar ve Peter Stryceek, 31 Temmuz 2025’te piyasaya sürülen Winrar sürüm 7.13’te ele alınan güvenlik kusurunu keşfetmek ve raporlamak için kredilendirildi.
Şu anda gerçek dünya saldırılarında ve kim tarafından güvenlik açığının nasıl silahlandırıldığı bilinmemektedir. 2023’te Winrar’ı (CVE-2023-38831, CVSS skoru: 7.8) etkileyen başka bir güvenlik açığı, Çin ve Rusya’dan birden fazla tehdit aktörleri tarafından sıfır gün de dahil olmak üzere ağır sömürü altına girdi.
Rus siber güvenlik satıcısı Bi.zone, geçen hafta yayınlanan bir raporda, CVE-2025-6218 olarak izlenen hack grubunun CVE-2025-6218, CVE-2025-6218, Winrar’ın yanında CVE-2025-6218, Haziran 2025’te yamalılan Winrar sürümünde bir dizin geçiş hatası ile ilgili olduğunu söyledi.
Bu saldırılardan önce, “Zeroplayer” olarak tanımlanan bir tehdit aktörünün, 7 Temmuz 2025’te Rus-dili karanlık web forumu istismarında Winrar Zero-Day istismarı olduğu iddia edildiğini belirtmek önemlidir. 80.000 dolarlık bir fiyat etiketi için. Kağıt kurt adam aktörlerinin onu almış olabileceğinden ve saldırıları için kullanabileceğinden şüpheleniliyor.
Winrar, “Winrar’ın önceki sürümlerinin yanı sıra RAR, Unrar, Unrar.dll ve Windows için taşınabilir Unrar kaynak kodu, ekstraksiyon sırasında dosya yollarını manipüle etmek için keyfi kod içeren özel olarak hazırlanmış bir arşivde kullanılabilir.” Dedi.
“Dosyaların amaçlanan dizin dışında yazılmasına neden olabilecek bu güvenlik açığından yararlanmak için kullanıcı etkileşimi gereklidir. Bu kusur, bir sonraki sistem girişinde istenmeyen kod yürütülmesine yol açan Windows başlangıç klasörü gibi hassas konumlara dosyaları yerleştirmek için kullanılabilir.”
Bi.zone başına saldırılar, Temmuz 2025’te Rus organizasyonlarını, başlatıldığında CVE-2025-6218 ve hedef dizin dışında dosyaları yazmak ve kod yürütme elde etmek için muhtemelen CVE-2025-6218 ve muhtemelen CVE-2025-8088’i tetikleyen kimlik avı e-postaları aracılığıyla hedef aldı.
Bi.zone, “Güvenlik açığı, bir RAR arşivi oluştururken, adlarının göreceli yollar içeren alternatif veri akışlarına sahip bir dosya ekleyebileceğiniz gerçeğiyle ilgilidir.” Dedi. “Bu akışlar keyfi yük içerebilir. Böyle bir arşivi açarken veya doğrudan arşivden ekli bir dosyayı açarken, alternatif akışlardan veriler diskteki bir dizin geçiş saldırısı olan keyfi dizinlere yazılmıştır.”
“Güvenlik açığı, 7.12’ye kadar olan Winrar sürümlerini etkiler. 7.13 sürümünden başlayarak, bu güvenlik açığı artık yeniden üretilmiyor.”
Söz konusu kötü amaçlı yüklerden biri, sistem bilgilerini harici bir sunucuya göndermek ve şifreli bir .NET montajı da dahil olmak üzere ek kötü amaçlı yazılım almak için tasarlanmış bir .NET yükleyicidir.
Şirket, “Paper Westwolf, kurbanın bilgisayar adını almak ve yükü almak için sunucuya oluşturulan bağlantıya göndermek için C# Loader’ı kullanıyor.” “Kağıt kurtadam, kontrol sunucusuyla iletişim kurmak için ters kabuktaki soketleri kullanıyor.”