导语:该漏洞是一个目录遍历漏洞,已在WinRAR 7.13版本中修复。借助此漏洞,经过特殊构造的压缩包可将文件提取到攻击者选定的文件路径中。
最近被修复的WinRAR漏洞(编号CVE-2025-8088)曾被作为零日漏洞在钓鱼攻击中被利用,用于安装RomCom恶意软件。
该漏洞是一个目录遍历漏洞,已在WinRAR 7.13版本中修复。借助此漏洞,经过特殊构造的压缩包可将文件提取到攻击者选定的文件路径中。
WinRAR 7.13的更新日志中写道:“在提取文件时,旧版本的WinRAR、Windows版RAR、UnRAR、便携版UnRAR源代码及UnRAR.dll可能会被诱导,使用经过特殊构造的压缩包中定义的路径,而非用户指定的路径。”
Unix版RAR、UnRAR、便携版UnRAR源代码及UnRAR库,以及安卓版RAR均不受此影响。
利用这一漏洞,攻击者可创建压缩包,将可执行文件提取到自动运行路径中,例如以下Windows启动文件夹:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (用户本地路径)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (计算机全局路径)
当用户下次登录时,这些可执行文件会自动运行,使攻击者能够实现远程代码执行。
由于WinRAR不具备自动更新功能,强烈建议所有用户从win-rar.com手动下载并安装最新版本,以防范该漏洞带来的风险。
在攻击中作为零日漏洞被利用
该漏洞由ESET的发现。据透露,该漏洞已在钓鱼攻击中被活跃利用以安装恶意软件。安全研究人员表示:“ESET已观测到带有包含RAR文件的附件的鱼叉式钓鱼邮件。”这些压缩包利用CVE-2025-8088漏洞分发RomCom后门程序。
RomCom,也被追踪为Storm-0978、Tropical Scorpius或UNC2596,是一个俄罗斯黑客组织,涉及勒索软件、数据盗窃勒索攻击,以及专注于窃取凭证的活动。
该组织以在攻击中使用零日漏洞,以及使用定制恶意软件进行数据盗窃、维持持久控制和充当后门而闻名。据悉,RomCom此前已被证实与多个勒索软件行动有关,包括Cuba和Industrial Spy行动。
文章翻译自:https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/如若转载,请注明原文地址
