WinRAR 零日漏洞遭积极利用 - 立即更新至最新版本

WinRAR 文件归档实用程序的维护人员发布了一个更新，以解决一个被积极利用的零日漏洞。

该问题被标记为CVE-2025-8088（CVSS 评分：8.8），被描述为影响 Windows 版本工具的路径遍历案例，可通过制作恶意存档文件来获取任意代码执行。

WinRAR在一份公告中表示：“提取文件时，以前版本的 WinRAR、Windows 版本的 RAR、UnRAR、便携式 UnRAR 源代码和 UnRAR.dll 可能会被诱骗使用特制档案中定义的路径，而不是指定的路径。”

ESET 的 Anton Cherepanov、Peter Kosinar 和 Peter Strycek 因发现并报告该安全缺陷而受到赞誉，该缺陷已在 2025 年 7 月 31 日发布的 WinRAR 版本 7.13 中得到解决。

网络安全
目前尚不清楚该漏洞在实际攻击中是如何被利用的，以及被谁利用。2023年，另一个影响 WinRAR 的漏洞 (CVE-2023-38831，CVSS 评分：7.8)遭到来自中国和俄罗斯的多名威胁行为者的 大力 利用，包括以零日漏洞的形式被利用。

俄罗斯网络安全供应商 BI.ZONE 在上周发布的一份报告中表示，有迹象表明，被追踪为Paper Werewolf（又名 GOFFEE）的黑客组织可能利用了 CVE-2025-8088 以及 CVE-2025-6218，后者是 Windows 版 WinRAR 中的一个目录遍历漏洞，已于 2025 年 6 月修复。

值得注意的是，在这些攻击之前，一个名为“zeroplayer”的威胁行为者于2025年7月7日被发现在俄语暗网论坛Exploit.in上发布广告，声称该漏洞是一个WinRAR零日漏洞，标价8万美元。有人怀疑“纸狼人”组织的行为者可能已经获取了该漏洞并将其用于攻击。

WinRAR 在当时的 CVE-2025-6218 警报中表示：“在以前版本的 WinRAR 以及 RAR、UnRAR、UnRAR.dll 和适用于 Windows 的可移植 UnRAR 源代码中，包含任意代码的特制存档可用于在提取过程中操纵文件路径。”

利用此漏洞需要用户交互，这可能导致文件写入到预期目录之外。攻击者可以利用此漏洞将文件放置在敏感位置（例如 Windows 启动文件夹），从而可能导致下次系统登录时意外执行代码。

据 BI.ZONE 称，这些攻击于 2025 年 7 月通过带有陷阱档案的网络钓鱼电子邮件针对俄罗斯组织发起，这些攻击在发起时触发 CVE-2025-6218 和可能的 CVE-2025-8088，从而将文件写入目标目录之外并实现代码执行，同时向受害者呈现诱饵文档以分散注意力。

BI.ZONE表示： “该漏洞与以下情况有关：在创建 RAR 压缩文件时，你可以包含一个包含备用数据流的文件，这些备用数据流的名称包含相对路径。这些数据流可以包含任意有效载荷。当解压此类压缩文件或直接从压缩文件打开附件时，备用数据流中的数据将被写入磁盘上的任意目录，这是一种目录遍历攻击。”

身份安全风险评估
该漏洞影响 WinRAR 7.12 及以上版本。从 7.13 版本开始，该漏洞不再复现。

其中一个恶意负载是.NET 加载器，旨在将系统信息发送到外部服务器并接收其他恶意软件，包括加密的.NET 程序集。

该公司补充道：“Paper Werewolf 使用 C# 加载器获取受害者的计算机名称，并将其通过生成的链接发送到服务器以获取有效载荷。Paper Werewolf 使用反向 shell 中的套接字与控制服务器通信。”

WinRAR 漏洞也被 RomCom 利用

斯洛伐克网络安全公司 ESET 表示，其观察到与俄罗斯结盟的组织 RomCom 利用 CVE-2025-8088 作为零日漏洞，这是继CVE-2023-36884（2023 年 6 月）、CVE-2024-9680 和 CVE-2024-49039（2024 年 10 月）之后，该黑客团队第三次在攻击中使用零日漏洞。

研究人员 Cherepanov、Strycek 和 Damien Schaeffer表示： “成功的攻击尝试泄露了 RomCom 组织使用的各种后门，特别是 SnipBot 变种、RustyClaw 和 Mythic 代理。此次攻击活动的目标是欧洲和加拿大的金融、制造、国防和物流公司。”

这些攻击利用包含一个良性数据流（ADS）但包含多个用于路径遍历的备用数据流（ADS）的恶意存档。这些邮件使用以简历为主题的诱饵来诱骗收件人打开附件。

打开存档会触发恶意 DLL 的执行，同时会在 Windows 启动目录中设置一个 Windows 快捷方式 (LNK) 文件，以便在用户每次登录系统时实现持久化。该 DLL 负责解密嵌入的 Shellcode，从而为 Mythic 代理、SnipBot（又名 SingleCamper）变体和RustyClaw铺平道路。

RustyClaw 获取并执行另一个有效载荷，即另一个名为MeltingClaw（又名 DAMASCENED PEACOCK）的下载程序，该下载程序过去曾被用来投放 ShadyHammock 或 DustyHammock 等后门。

该公司援引遥测数据称，所有目标均未受到攻击，但这一发展表明 RomCom 已逐渐成熟，成为一个成熟的威胁行为者，能够将零日漏洞纳入其武器库，用于有针对性的攻击。

ESET 表示：“通过利用 WinRAR 中一个此前未知的零日漏洞，RomCom 组织表明其愿意在其网络行动中投入大量精力和资源。此次发现的攻击活动针对的行业与俄罗斯盟友 APT 组织的典型利益相符，这表明该行动背后存在地缘政治动机。”

7-Zip 插件任意文件写入漏洞#
此次披露正值 7-Zip 发布补丁修复一个安全漏洞 (CVE-2025-55188，CVSS 评分：2.7) 之际。由于该工具在解压过程中处理符号链接的方式不当，该漏洞可能被滥用于任意文件写入，从而导致代码执行。该问题已在25.01 版本中得到解决。

在可能的攻击场景中，威胁行为者可以利用此漏洞通过篡改敏感文件（例如覆盖用户的 SSH 密钥或 .bashrc 文件）来实现未经授权的访问或代码执行。

该攻击主要针对 Unix 系统，但只要满足额外条件，也可以适用于 Windows。安全研究员“lunbun”表示：“在 Windows 上，7-Zip 的解压过程必须能够创建符号链接（例如，以管理员权限解压、Windows 处于开发者模式等）。”