Los mantenedores de la utilidad de archivo de archivos Winrar han publicado una aggiornamento para topar una vulnerabilidad de día cero explotada activamente.
Seguido como CVE-2025-8088 (puntaje CVSS: 8.8), el problema se ha descrito como un caso de trayecto por ruta que afecta la traducción de Windows de la aparejo que podría explotarse para obtener la ejecución del código abusivo mediante la creación de archivos de archivo maliciosos.
«Al extraer un archivo, las versiones anteriores de Winrar, las versiones de Windows de RAR, UNRAR, el código fuente de UNRAR portátil y unrar.dll se pueden engañar para usar una ruta, definidas en un archivo especialmente esmerado, en punto de una ruta especificada», dijo Winrar en un asesoramiento.
Anton Cherepanov, Peter Kosinar y Peter Strycek de ESET han sido acreditados por descubrir e informar el defecto de seguridad, que se ha abordado en Winrar traducción 7.13 decidido el 31 de julio de 2025.
Actualmente no se sabe cómo se está armando la vulnerabilidad en ataques del mundo vivo y quién. En 2023, otra vulnerabilidad que afecta a Winrar (CVE-2023-38831, puntaje CVSS: 7.8) quedó bajo una gran explotación, incluso como un día cero, por múltiples actores de amenazas de China y Rusia.
El proveedor de ciberseguridad ruso Bi.zone, en un noticia publicado la semana pasada, dijo que hay indicios de que el reunión de piratería rastreado como Werewolf (mote Goffee) puede tener estudioso CVE-2025-8088 de CVE-2025-6218, un error de directorio CVE-2025-8088 cercano con CVE-2025-6218, un error traversal de directorio en la traducción de Windows de Winrar de Winrar que se parchó en junio de 2025.
Es importante tener en cuenta que antiguamente de estos ataques, un actor de amenaza identificado como «Zeroplayer» fue gastado publicidad el 7 de julio de 2025, un supuesto exploit de día cero de Winrar en la explotación del foro web azaroso en ruso. Se sospecha que los actores de hombre lobo de papel pueden haberlo adquirido y lo han usado para sus ataques.
«En versiones anteriores de Winrar, así como RAR, Unrar, Unrar.dll, y el código fuente portátil de UNRAR para Windows, se podría usar un archivo especialmente esmerado que contiene código abusivo para manipular rutas de archivos durante la extirpación», dijo Winrar en una alerta para CVE-2025-6218 en el momento.
«Se requiere la interacción del usufructuario para explotar esta vulnerabilidad, lo que podría hacer que los archivos se escriban fuera del directorio previsto. Este defecto podría explotarse para colocar archivos en ubicaciones confidenciales, como la carpeta de inicio de Windows, lo que puede conducir a la ejecución de código no intencional en el venidero inicio de sesión del sistema».
Los ataques, según la zona, se dirigieron a organizaciones rusas en julio de 2025 a través de correos electrónicos de phishing con archivos atrapados explosivos que, cuando se lanzan, se activaron CVE-2025-6218 y probablemente CVE-2025-8088 para escribir archivos fuera del directorio de destino y ganar la ejecución de código, mientras se presenta un documento Decoy a la victimización como una distracción.
«La vulnerabilidad está relacionada con el hecho de que al crear un archivo RAR, puede incluir un archivo con flujos de datos alternativos, cuyos nombres contienen rutas relativas», dijo Bi.Zone. «Estas transmisiones pueden contener carga útil arbitraria. Al desempacar dicho archivo o rasgar un archivo adjunto directamente desde el archivo, los datos de las transmisiones alternativas se escriben en directorios arbitrarios en el disco, que es un ataque de trayecto de directorio».
«La vulnerabilidad afecta las versiones de Winrar hasta 7.12. A partir de la traducción 7.13, esta vulnerabilidad ya no se reproduce».
Una de las cargas efectos maliciosas en cuestión es un cargador .NET diseñado para despachar información del sistema a un servidor foráneo y tomar malware adicional, incluido un ensamblaje de .NET enigmático.
«Paper Werewolf usa el cargador C# para obtener el nombre de la computadora de la víctima y enviarlo al enlace generado al servidor para obtener la carga útil», agregó la compañía. «Paper Werewolf usa enchufes en el shell inverso para comunicarse con el servidor de control».
