Używany przez setki milionów osób do kompresji i dekompresji plików WinRAR cierpi na krytyczną lukę bezpieczeństwa (CVE-2025-8088). Atakujący mogą uzyskać pełną kontrolę nad systemem ofiary wykorzystując specjalne archiwum.
WinRAR zawiera poważny błąd typu path traversal za pomocą którego atakujący może zmusić program do umieszczenia plików w dowolnej lokalizacji na dysku twardym zamiast katalogu wybranego przez użytkownika. W praktyce oznacza to, iż szkodliwy kod trafi np. do folderów autostartu Windowsa, a przy kolejnym logowaniu uruchomi się bez wiedzy użytkownika.
ESET-owi badacze Anton Cherepanov, Peter Košinár i Peter Strýček odkryli tę lukę i zgłosili ją twórcom WinRAR-a, którzy załatali program w wersji 7.13. Niestety ślady w sieci wskazują, iż RomCom – grupa powiązana z rosyjskim cyberwywiadem – wykorzystała ten zero-day do masowego rozsyłania phishingowych maili z załącznikami RAR, które instalują złośliwy backdoor.
Skala zagrożenia
WinRAR to niemal standard wśród narzędzi do archiwizacji na Windowsie – korzystają z niego zarówno domowi użytkownicy, jak i firmy. I to mimo faktu iż od pewnego czasu Windows 11 potrafi radzić sobie z archiwami RAR bez konieczności instalowania jakiejkolwiek aplikacji. Brak automatycznej aktualizacji sprawia, iż wiele osób przez cały czas używa starszych wersji, które są praktycznie zaproszeniem dla cyberprzestępców.
Atak rozpoczyna się od dobrze spreparowanego maila, który zachęca odbiorcę do pobrania ważnego archiwum RAR. Po otwarciu pliku WinRAR rozpakowuje ukryte pliki wykonywalne do katalogów autostartu Windowsa – np. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup lub %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup. Kolejne logowanie ofiary uruchamia zainstalowany malware z uprawnieniami użytkownika lub choćby wyższymi, w zależności od konfiguracji. W ten sposób atakujący mogą zdalnie sterować maszyną, szpiegować użytkownika lub szyfrować dane pod ransomware.
Kto zawinił?
Błąd wynika z nieprawidłowej walidacji ścieżek wewnątrz archiwów RAR w wersjach WinRAR dla Windowsa, UnRAR i UnRAR.dll – wersje na inne platformy (Android, Unix) nie są podatne. WinRAR zabezpieczył kod źródłowy UnRAR, ale dopiero w wydaniu 7.13 wprowadził odpowiednie ograniczenia.
Luka CVE-2025-8088 w WinRAR to ostatni dzwonek, by przypomnieć sobie o roli aktualizacji i czujności przy otwieraniu cudzych archiwów. Złota zasada brzmi: nie ufaj plikom od nieznajomych, choćby gdy wyglądają na niewinne ważne dokumenty. A jeżeli przez cały czas używasz WinRAR-a, natychmiast zgódź się na jego uaktualnienie.
