Zip kayması güvenlik açığının yeni gözlemlenen bir varyantı ortaya çıktı ve tehdit aktörlerinin yaygın olarak kullanılan dekompresyon yardımcı programlarında yol geçirme kusurlarından yararlanmalarını sağladı.
Bu güvenlik açığından yararlanan, göreceli yollara sahip özel olarak oluşturulmuş dosya adları içeren kötü niyetli arşivlerden yararlanır.
Şüphesiz bir kullanıcı veya otomatik sistem bu arşivleri çıkardığında, dosyalar amaçlanan çıkarma dizininin dışında yazılır, potansiyel olarak kritik sistemin veya uygulama ikili dosyalarının üzerine yazılır.
İlk raporlar, saldırganların bu tekniği arka kapıları implante etmek ve hem Windows hem de UNIX hedeflerinde artan ayrıcalıklara silahlandırdığını göstermektedir.
Dosya konumlarını bir alt klasörle sınırlayan geleneksel arşivlerin aksine, kötü amaçlı zip dosyaları girişler içerir.
Dekompresyon üzerine, bu girişler yetersiz yol sanitizasyonu ve yükleri doğrudan sistem dizinlerine atar.
İlk olaylar iç penetrasyon testlerinde tespit edildi, ancak son zamanlarda Romcom APT grubuna atfedilen daha sofistike kampanyalar, kurumsal ortamlarda canlı ateş sömürüsü gösterdi.
ASEC analistleri, varyantın, imza tabanlı tarayıcılarla algılamadan kaçan yol ayırıcılarını kodlamak için zip başlıktaki genel amaçlı bit bayrağından yararlandığını belirledi.
Bir durumda, tehlikeye atılmış bir e -posta eki, eski bir dekompresyon aracı ile açıldığında, meşru bir başlangıç komut dosyasının üzerine sessizce üzerine çıkan bir zip arşivi sundu.
Arşiv yapısının incelenmesi, 0x1E ofsetinden başlayan dosya adı alanının, yalnızca dosya oluşturma sırasında kod çözülen yüzde kodlanmış eğik çizgilerle ayrılmış yol segmentlerini içerdiğini ortaya koymaktadır.
.webp)
Sonraki ters mühendislik, kötü niyetli arşivin Python’un kullandığını ortaya çıkardı zipfile Göreli yolları doğrudan dosya adı alanına eklemek için modül.
Bu teknikten yararlanan ana güvenlik açıkları şunları içerir:-
- CVE-2025-8088-Sürüm 7.13’ten önce Winrar’ı etkiler ve alternatif veri akışı geçişi yoluyla yol doğrulamasının atlanmasına izin verir.
- CVE-2025-6218-7.12’den önce Winrar sürümlerinde, boşluklar kullanıldığında göreceli yolu filtreleyen bir uzaktan kod yürütme kusuru.
- CVE-2022-30333-6.12’den önce Rarlab Unrar’ı SSH’nin üzerine yazmayı hedefliyor.
"../../example"Yollar. - CVE-2018-20250-Bu, UNACEV2.DLL filtreleme mantığını atlayarak Winrar Pre-5.61’de ACE formatı ekstraksiyonunu kötüye kullanır.
Basit dosyanın üzerine yazmaya ek olarak, bu varyant, kalıcılığı korumak için tasarlanmış yürütülebilir komut dosyalarının ve DLL’lerin yerleştirilmesini destekler.
Başlangıç klasörlerine veya SystemD hizmet dizinlerine yükler yazarak, saldırganlar yeniden başlatıldıktan sonra yürütülmeyi sağlar. Tespit, birçok dekompresyon kamu hizmetinin yazmadan önce kanonik yolları normalleştirmemesi veya doğrulamaması nedeniyle karmaşıktır.
Siber güvenlik ekiplerinin yerleşik yol geçiş kontrolleri olan dekompresyon kütüphaneleri kullanmaları, sanal alan ortamlarında çıkarmayı zorlamaları ve Ağustos 2025’ten sonra piyasaya sürülen yamalı versiyonlara araçları güncellemeleri önerilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.