WinRAR Zero-Day đang bị khai thác – Cập nhật ngay lên phiên bản mới nhất

[Starlink]

Những người bảo trì tiện ích lưu trữ tệp WinRAR đã phát hành bản cập nhật để giải quyết lỗ hổng bảo mật zero-day đang bị khai thác tích cực.

Được theo dõi với mã CVE-2025-8088 (điểm CVSS: 8,8), sự cố này được mô tả là trường hợp xâm nhập đường dẫn ảnh hưởng đến phiên bản công cụ Windows có thể bị khai thác để thực thi mã tùy ý bằng cách tạo các tệp lưu trữ độc hại.

WinRAR cho biết trong một khuyến cáo : "Khi giải nén một tệp, các phiên bản WinRAR trước đó, phiên bản RAR dành cho Windows, UnRAR, mã nguồn UnRAR di động và UnRAR.dll có thể bị lừa sử dụng đường dẫn được xác định trong một kho lưu trữ được tạo đặc biệt, thay vì đường dẫn đã chỉ định".

Anton Cherepanov, Peter Kosinar và Peter Strycek từ ESET được ghi nhận là những người phát hiện và báo cáo lỗi bảo mật, lỗi này đã được khắc phục trong WinRAR phiên bản 7.13 phát hành vào ngày 30 tháng 7 năm 2025.

Đây là lần thứ hai lỗ hổng bảo mật WinRAR bị lợi dụng trong thực tế chỉ trong vòng vài năm. Năm 2023, một lỗ hổng khác ảnh hưởng đến WinRAR (CVE-2023-38831, điểm CVSS: 7.8) đã bị khai thác nghiêm trọng, bao gồm cả dưới dạng lỗ hổng zero-day, bởi nhiều tác nhân đe dọa từ Trung Quốc và Nga.

Trong một báo cáo được công bố tuần trước, nhà cung cấp an ninh mạng của Nga   Đăng nhập để xem liên kết cho biết có dấu hiệu cho thấy nhóm tin tặc được theo dõi là Paper Werewolf (hay còn gọi là GOFFEE) có thể đã lợi dụng CVE-2025-8088 cùng với CVE-2025-6218, một lỗi duyệt thư mục trong phiên bản WinRAR dành cho Windows đã được vá vào tháng 6 năm 2025.

Điều quan trọng cần lưu ý là trước các cuộc tấn công này, một tác nhân đe dọa được xác định là "zeroplayer" đã bị phát hiện quảng cáo vào ngày 7 tháng 7 năm 2025, một lỗ hổng zero-day được cho là của WinRAR trên diễn đàn dark web tiếng Nga   Đăng nhập để xem liên kết với mức giá 80.000 đô la. Người ta nghi ngờ rằng các tác nhân Paper Werewolf có thể đã mua nó và sử dụng cho các cuộc tấn công của chúng.

"Trong các phiên bản trước của WinRAR, cũng như RAR, UnRAR, UnRAR.dll và mã nguồn UnRAR di động cho Windows, một kho lưu trữ được thiết kế đặc biệt chứa mã tùy ý có thể được sử dụng để thao tác đường dẫn tệp trong quá trình giải nén", WinRAR cho biết trong cảnh báo về CVE-2025-6218 vào thời điểm đó.

"Cần có sự tương tác của người dùng để khai thác lỗ hổng này, có thể khiến các tệp được ghi ra ngoài thư mục dự định. Lỗ hổng này có thể bị khai thác để đặt các tệp vào các vị trí nhạy cảm - chẳng hạn như thư mục Khởi động Windows - có khả năng dẫn đến việc thực thi mã ngoài ý muốn trong lần đăng nhập hệ thống tiếp theo."

Theo   Đăng nhập để xem liên kết, các cuộc tấn công nhắm vào các tổ chức của Nga vào tháng 7 năm 2025 thông qua email lừa đảo có chứa các kho lưu trữ bẫy, khi được khởi chạy, sẽ kích hoạt CVE-2025-6218 và có thể là CVE-2025-8088 để ghi các tệp bên ngoài thư mục đích và thực thi mã, trong khi một tài liệu giả được trình bày cho nạn nhân để đánh lạc hướng.

  Đăng nhập để xem liên kết cho biết : "Lỗ hổng bảo mật này liên quan đến việc khi tạo tệp RAR, bạn có thể bao gồm một tệp với các luồng dữ liệu thay thế, tên của các luồng này chứa đường dẫn tương đối. Các luồng này có thể chứa dữ liệu tùy ý. Khi giải nén tệp như vậy hoặc mở tệp đính kèm trực tiếp từ tệp, dữ liệu từ các luồng thay thế sẽ được ghi vào các thư mục tùy ý trên đĩa, đây là một cuộc tấn công xâm nhập thư mục."

"Lỗ hổng bảo mật này ảnh hưởng đến các phiên bản WinRAR lên đến 7.12. Bắt đầu từ phiên bản 7.13, lỗ hổng này không còn tái diễn nữa."

Một trong những phần mềm độc hại được đề cập là trình   Đăng nhập để xem liên kết được thiết kế để gửi thông tin hệ thống đến máy chủ bên ngoài và nhận thêm phần mềm độc hại, bao gồm cả   Đăng nhập để xem liên kết được mã hóa.

"Paper Werewolf sử dụng trình tải C# để lấy tên máy tính của nạn nhân và gửi nó theo liên kết đã tạo đến máy chủ để lấy dữ liệu", công ty cho biết thêm. "Paper Werewolf sử dụng các socket trong shell ngược để giao tiếp với máy chủ điều khiển."

Lỗ hổng WinRAR cũng bị RomCom khai thác

Công ty an ninh mạng ESET của Slovakia cho biết họ lần đầu tiên phát hiện nhóm RomCom liên kết với Nga khai thác CVE-2025-8088 dưới dạng lỗ hổng zero-day vào ngày 18 tháng 7 năm 2025, đánh dấu lần thứ ba nhóm tin tặc sử dụng lỗ hổng zero-day trong các cuộc tấn công sau CVE-2023-36884 (tháng 6 năm 2023), CVE‑2024‑9680 và CVE‑2024‑49039 (tháng 10 năm 2024).

"Những nỗ lực khai thác thành công đã tạo ra nhiều backdoor khác nhau được nhóm RomCom sử dụng, cụ thể là biến thể SnipBot, RustyClaw và Mythic ", các nhà nghiên cứu Cherepanov, Strycek và Damien Schaeffer cho biết. "Chiến dịch này nhắm vào các công ty tài chính, sản xuất, quốc phòng và hậu cần ở châu Âu và Canada."

Các cuộc tấn công này lợi dụng các kho lưu trữ độc hại chứa một luồng dữ liệu thay thế ( ADS ) lành tính nhưng lại có nhiều luồng dữ liệu thay thế (ADS) được sử dụng để truy cập đường dẫn. Các tin nhắn sử dụng các mồi nhử có chủ đề sơ yếu lý lịch để lừa người nhận mở tệp đính kèm.

Việc mở kho lưu trữ sẽ kích hoạt việc thực thi một DLL độc hại, trong khi một tệp lối tắt Windows (LNK) được thiết lập trong thư mục khởi động Windows để duy trì tính bền bỉ mỗi khi người dùng đăng nhập vào hệ thống. DLL này chịu trách nhiệm giải mã shellcode nhúng, sau đó mở đường cho tác nhân Mythic, một biến thể của SnipBot (hay còn gọi là SingleCamper) và RustyClaw.

RustyClaw sẽ tìm nạp và thực thi một payload khác, một trình tải xuống khác có tên là MeltingClaw (hay còn gọi là DAMASCENED PEACOCK), từng được sử dụng để thả các backdoor như ShadyHammock hoặc DustyHammock trong quá khứ.

Công ty cho biết không có mục tiêu nào bị xâm phạm, trích dẫn dữ liệu đo từ xa, nhưng diễn biến này cho thấy RomCom ngày càng trưởng thành hơn, trở thành một tác nhân đe dọa tinh vi có khả năng áp dụng lỗ hổng zero-day vào kho vũ khí tấn công có mục tiêu.

"Bằng cách khai thác lỗ hổng zero-day chưa từng được biết đến trong WinRAR, nhóm RomCom đã chứng tỏ chúng sẵn sàng đầu tư công sức và nguồn lực nghiêm túc vào các hoạt động mạng của mình", ESET cho biết. "Chiến dịch bị phát hiện này nhắm vào các lĩnh vực phù hợp với lợi ích điển hình của các nhóm APT liên kết với Nga, cho thấy động cơ địa chính trị đằng sau hoạt động này."

Lỗi ghi tệp tùy ý của 7-Zip Plugs

Thông tin này được công bố sau khi 7-Zip phát hành bản vá cho một lỗ hổng bảo mật (CVE-2025-55188, điểm CVSS: 2,7) có thể bị lạm dụng để ghi tệp tùy ý do cách công cụ xử lý các liên kết tượng trưng trong quá trình trích xuất, có thể dẫn đến thực thi mã. Sự cố đã được khắc phục trong phiên bản 25.01.

Trong một kịch bản tấn công có thể xảy ra, kẻ tấn công có thể lợi dụng lỗ hổng để truy cập trái phép hoặc thực thi mã bằng cách giả mạo các tệp nhạy cảm, chẳng hạn như ghi đè lên khóa SSH của người dùng hoặc tệp.bashrc.

Cuộc tấn công này chủ yếu nhắm vào các hệ thống Unix, nhưng cũng có thể được điều chỉnh cho Windows với các điều kiện tiên quyết bổ sung. "Trên Windows, quy trình giải nén 7-Zip phải có khả năng tạo liên kết tượng trưng (ví dụ: giải nén với quyền Quản trị viên, Windows đang ở Chế độ Nhà phát triển, v.v.)", nhà nghiên cứu bảo mật "lunbun" cho biết.

Cập nhật

Nhà nghiên cứu Cherepanov của ESET đã xác nhận với The Hacker News rằng lỗ hổng WinRAR mà Paper Werewolf sử dụng "chắc chắn" giống hệt, nhưng cho biết họ "hiện không phát hiện ra bất kỳ cuộc tấn công nào nhắm vào Nga".

Nhà nghiên cứu cũng lưu ý rằng "mặc dù chúng tôi không có bằng chứng xác thực nào cho thấy RomCom hoặc Paper Werewolf đã lấy được lỗ hổng zero-day của WinRAR từ diễn đàn của tội phạm mạng, nhưng rất có thể đây là trường hợp như vậy."