WinRAR: podatność path traversal CVE-2025-8088 przez cały czas masowo wykorzystywana — jak działa łańcuch ataku i co zrobić teraz

Wprowadzenie do problemu / definicja luki

CVE-2025-8088 to podatność typu path traversal w WinRAR dla Windows, która pozwala atakującym zapisać pliki poza katalogiem wskazanym przez użytkownika podczas rozpakowywania. W praktyce oznacza to możliwość „podrzucenia” złośliwego pliku w lokalizacji uruchamianej automatycznie (np. Windows Startup) i uzyskania wykonania kodu przy spełnieniu warunku interakcji użytkownika (otwarcie/rozpakowanie spreparowanego archiwum).

Co ważne: chociaż poprawka jest dostępna od lipca 2025, najnowsze raporty pokazują, iż luka jest przez cały czas intensywnie wykorzystywana przez wiele grup — od aktorów państwowych po cyberprzestępców „commodity”.

W skrócie

• Co to jest: path traversal w WinRAR/UnRAR na Windows (CWE-35).
• Jak jest wykorzystywane: przez Alternate Data Streams (ADS) na NTFS do ukrycia i wypakowania payloadu w niezamierzone miejsce (często Startup).
• Kogo dotyczy: WinRAR/UnRAR i komponenty na Windows (m.in. UnRAR.dll) — platformy Linux/Unix i Android nie są dotknięte.
• Status: aktywna eksploatacja obserwowana od 18 lipca 2025 i przez cały czas trwająca (raporty z 27 stycznia 2026).
• Mitigacja: aktualizacja do WinRAR 7.13+ oraz przegląd zależności (UnRAR.dll) w innych produktach.

Kontekst / historia / powiązania

Podatność została wykryta i zgłoszona przez badaczy ESET, a WinRAR opublikował poprawkę w linii 7.13 (wersja final 30.07.2025; notki aktualizowane 12.08.2025).

W styczniu 2026 Google Threat Intelligence Group (GTIG) opisał problem jako klasyczny przykład „n-day”, który mimo dostępnej łatki pozostaje skuteczny, bo:

• użytkownicy często nie aktualizują WinRAR (brak automatycznych aktualizacji w typowych wdrożeniach),
• a wektor „archiwum + socjotechnika” jest tani i powtarzalny dla wielu grup.

Analiza techniczna / szczegóły luki

Mechanizm: path traversal + ADS (NTFS)

CVE-2025-8088 wykorzystuje Alternate Data Streams (ADS) — cechę NTFS pozwalającą dołączać „strumienie” danych do pliku w sposób mało widoczny dla użytkownika. Atakujący przygotowuje archiwum tak, aby zawierało plik-przynętę (np. dokument), a adekwatny payload był ukryty w ADS.

Następnie, podczas podglądu/otwarcia pliku z archiwum lub rozpakowywania, WinRAR:

1. rozpakowuje plik-przynętę (żeby ofiara widziała „normalny” dokument),
2. równolegle rozpakowuje ADS-y, a dzięki obejściu ścieżki docelowej może je zrzucić poza wybrany katalog.

Typowe payloady i post-exploitation

W obserwowanych kampaniach wypakowywane były m.in. LNK, HTA, BAT, CMD i inne skrypty/artefakty, które uruchamiają kolejne etapy infekcji (np. przy logowaniu). Szczególnie atrakcyjny jest zrzut do Windows Startup folder — daje to persistence „bez fajerwerków”.

Ocena ryzyka (NVD)

NVD opisuje podatność jako umożliwiającą wykonanie dowolnego kodu po spreparowaniu archiwum i interakcji użytkownika; wektor CVSS v3.1 wskazuje m.in. UI:R (wymagana akcja użytkownika), ale z pełnym wpływem na poufność/integralność/dostępność.

Praktyczne konsekwencje / ryzyko

Największe ryzyko wynika z połączenia trzech czynników:

1. Masowość: raporty z 27.01.2026 mówią o wielu aktorach i różnych ładunkach (od RAT-ów po stealery).
2. „Niewidzialność” dla użytkownika: ofiara widzi poprawny dokument, a złośliwe ADS-y są „w tle”.
3. Persistence bez exploitów kernelowych: zrzut do Startup daje trwałość po restarcie/logowaniu.

GTIG wskazuje, iż oprócz grup powiązanych z państwami (m.in. obserwowane operacje przypisywane aktorom powiązanym z Rosją/Chinami), podatność jest wykorzystywana także przez cyberprzestępców do dystrybucji popularnych narzędzi zdalnego dostępu i stealerów (np. AsyncRAT, XWorm).

Rekomendacje operacyjne / co zrobić teraz

1) Aktualizacja i inwentaryzacja (najważniejsze)

• Zaktualizuj WinRAR do 7.13 lub nowszej.
• Zidentyfikuj, gdzie w organizacji występują komponenty UnRAR.dll / UnRAR (często są „zagnieżdżone” w innych aplikacjach, instalatorach, narzędziach backupowych) i zaktualizuj zależności.

2) Ogranicz skutki socjotechniki

• Blokuj/izoluj archiwa z nieznanych źródeł (brama mailowa, sandbox).
• Wrażliwe zespoły (finanse, HR, logistyka, zarząd) — dodatkowe reguły dla załączników RAR/ZIP, zwłaszcza w kampaniach spearphishing. (To wpisuje się w obserwowany model ataku opisany przez ESET/GTIG).

3) Hardening punktów uruchomieniowych

• Monitoruj i ogranicz możliwość zapisu do lokalizacji persistence, w szczególności ścieżek powiązanych z Startup.
• Zaostrz polityki uruchamiania dla LNK/HTA/skryptów z katalogów użytkownika i TEMP (SRP/AppLocker/WDAC — zależnie od środowiska).

4) Detekcja i hunting

• Wykorzystaj informacje i IOCs opublikowane przez GTIG do polowań (jeśli prowadzisz threat hunting / SOC).
• Koreluj zdarzenia: rozpakowanie archiwum → powstanie plików typu LNK/HTA/BAT/CMD w nietypowych ścieżkach → uruchomienie przy logowaniu.

Różnice / porównania z innymi przypadkami

WinRAR podkreśla, iż CVE-2025-8088 jest odrębna od wcześniejszej podatności naprawionej w 7.12.
ESET dodatkowo wskazuje podobną podatność path traversal CVE-2025-6218 ujawnioną około miesiąc wcześniej (czerwiec 2025), co pokazuje, iż klasa błędów w obsłudze ścieżek i archiwów była w tym okresie szczególnie „gorąca” i atrakcyjna dla atakujących.

Podsumowanie / najważniejsze wnioski

• CVE-2025-8088 to praktyczny, „wdzięczny” exploit chain: archiwum + ADS + path traversal → zrzut do Startup → persistence → dalsza infekcja.
• Najnowsze dane (27.01.2026) potwierdzają ciągłą eksploatację przez szeroki przekrój aktorów.
• Największym problemem nie jest brak patcha, tylko opóźnione aktualizacje i „ukrycie” zależności (UnRAR.dll) w innych produktach.

Źródła / bibliografia

1. BleepingComputer — „WinRAR path traversal flaw still exploited by numerous hackers” (27.01.2026). (BleepingComputer)
2. Google Threat Intelligence Group — „Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088” (27.01.2026). (Google Cloud)
3. NVD (NIST) — wpis podatności CVE-2025-8088. (NVD)
4. RARLAB / win-rar.com — „WinRAR 7.13 Final released” (release notes + zakres wpływu). (WinRAR download free and support)
5. ESET WeLiveSecurity — „Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” (analiza ADS i timeline). (welivesecurity.com)