Dzięki nowoodkrytej podatności w popularnej aplikacji, hakerzy mogą instalować backdoory na komputerach z Windows
Badacze bezpieczeństwa z firmy ESET odkryli nową lukę typu zero-day w popularnym programie archiwizującym WinRAR. Błąd, oznaczony jako CVE-2025-8088, jest aktywnie wykorzystywany przez powiązaną z Rosją grupę hakerską RomCom i umożliwia umieszczanie plików w dowolnych lokalizacjach na komputerze ofiary.
Podatność ma charakter directory traversal – pozwala na wypakowanie plików do folderów autostartu systemu Windows, takich jak:
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (dla konkretnego użytkownika)
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (dla całego systemu)
W efekcie złośliwe pliki uruchamiają się automatycznie przy kolejnym starcie systemu, dając atakującym możliwość zdalnego uruchamiania kodu. ESET odnotował kampanie phishingowe, w których wykorzystywano archiwa RAR do dostarczenia backdoorów RomCom.
Grupa RomCom (znana też jako Storm-0978, Tropical Scorpius, Void Rabisu lub UNC2596) działa od połowy 2022 r. i początkowo atakowała ukraińskie instytucje rządowe, wojsko oraz infrastrukturę krytyczną. w tej chwili jej cele obejmują również organizacje w USA, Europie i podmioty zaangażowane w pomoc humanitarną związaną z Ukrainą.
Luka została naprawiona w wersji WinRAR 7.13, jednak program nie aktualizuje się automatycznie, dlatego producent zaleca manualne pobranie i instalację nowej wersji. Zagrożone są wcześniejsze wydania WinRAR oraz komponenty UnRAR dla Windows; wersje dla systemów Unix i Android pozostają bezpieczne.
To już kolejna w tym roku podatność typu directory traversal wykryta w WinRAR – podobny błąd zgłoszono w czerwcu, umożliwiający obejście ograniczeń ścieżek podczas rozpakowywania plików i zapisywanie ich w niepożądanych lokalizacjach.
![Saperzy 1. PBOT doskonalili się w zakresie działań przeciwkryzysowych [FOTO]](https://zambrow.org/static/files/gallery/130/1735916_1756209012.webp)
