В Windows-версии популярного архиватора WinRAR выявлен серьёзный дефект безопасности, зарегистрированный как CVE-2025-8088. Ошибка уже используется злоумышленниками в реальных фишинговых атаках. Она позволяет создавать специальные архивы, которые при распаковке размещают файлы в несанкционированных системных каталогах, включая папки автозагрузки Windows. Подобное размещение даёт возможность незаметно установить вредоносное ПО или создать «чёрный ход» для дальнейшего доступа к системе без участия пользователя.
Как работает атака
В нормальных условиях WinRAR должен извлекать файлы только в указанную пользователем директорию. Однако обнаруженная уязвимость обхода путей (path traversal) позволяет обмануть программу, направив файлы в критически важные системные зоны, включая папки автозагрузки как для конкретного пользователя, так и для всех пользователей устройства.
Вредонос, попавший в такие папки, будет запускаться автоматически при каждом старте компьютера, обеспечивая атакующему постоянный контроль над системой.
Проблема касается Windows-версий WinRAR и связанных инструментов — RAR, UnRAR, исходного кода Portable UnRAR и библиотеки UnRAR.dll. Версии для Unix и Android не подвержены уязвимости.
Эксплуатация уязвимости
Исследователи из компании ESET — Антон Черепанов, Петер Кошинар и Петер Стричек — выяснили, что дефект активно использует хакерская группировка RomCom (известная также как Storm-0978, Tropical Scorpius, UNC2596).
Атаки проводились через целевые фишинговые рассылки: жертвы получали письма с заражёнными RAR-архивами. При открытии таких файлов в устаревших версиях WinRAR на компьютер устанавливалось вредоносное ПО RomCom. Оно способно воровать конфиденциальные данные, загружать дополнительный вредонос и обеспечивать скрытый долгосрочный доступ к заражённым системам.
RomCom связывают с кибершпионскими операциями, использующими ранее неизвестные уязвимости для шпионажа и атак программ-вымогателей.
Нужно обновить программу
Разработчики WinRAR выпустили версию 7.13 Final 30 июля 2025 года. Она блокирует возможность извлечения файлов за пределы указанной пользователем директории и устраняет ряд других мелких ошибок.
Так как WinRAR не обновляется автоматически, пользователям необходимо вручную загрузить и установить новую версию с официального сайта.
В целом, эксперты советуют:
- всегда использовать актуальную версию WinRAR;
- быть осторожными при открытии вложений из писем от неизвестных отправителей;
- применять антивирусы, способные проверять архивированные файлы;
- регулярно проверять папки автозагрузки на наличие подозрительных элементов.
