CVE-2025-8088: WinRAR path traversal — эксплуатация через ADS

Новая критическая уязвимость в WinRAR получила идентификатор CVE-2025-8088 и оценку CVSS 8.4. Уязвимость затрагивает сборки WinRAR для Windows до версии 7.12 включительно, а также связанные компоненты, такие как UnRAR.dll и его portable source. Проблема связана с неправильной обработкой NTFS Alternate Data Streams (ADS) в созданных архивах: атакующий может поместить в архив видимый пользователю «безобидный» файл и одновременно встроить несколько записей ADS, часть которых содержит полезную нагрузку, а часть — фиктивные данные для запутывания обнаружения.

Что происходит при эксплуатации

При успешной эксплуатации злоумышленник добивается записи файлов вне ожидаемых путей извлечения — это открывает путь для скрытой доставки и выполнения вредоносных компонентов на целевой системе. Сообщается, что эксплойт продавался на криминальных форумах, а также использовался в реальных атаках.

Кто стоит за атаками

«ESET приписывает активную эксплуатацию российскому кластеру RomCom (также отслеживаемому как Storm-0978 / Tropical Scorpius / UNC2596).»BI.ZONE сообщила о дополнительном использовании уязвимости актором, отслеживаемым как Paper Werewolf, который комбинировал CVE-2025-8088 с CVE-2025-6218 в фишинговых кампаниях против российских объектов.

Техническая суть уязвимости

Ключевая причина — некорректная обработка записей ADS в архивах. Архив может демонстрировать один основной файл, в то время как дополнительные ADS содержат реальную полезную нагрузку. При извлечении WinRAR/UnRAR может допустить запись этих потоков в произвольные пути вне целевой директории, что приводит к path traversal и последующему выполнению кода.

Наблюдаемые сценарии эксплуатации

Исследователи выделили три основные цепочки выполнения, использующие CVE-2025-8088:

• Цепочка Mythic — злоумышленник доставляет вредоносный файл .lnk, который загружает DLL в %TEMP%. Злоумышленники перехватывают регистрацию COM (PSFactoryBuffer) через манипуляции с реестром, чтобы заставить систему загрузить эту DLL. DLL расшифровывает и выполняет встроенный шеллкод, после чего имплантат подключается к инфраструктуре C2 с логикой таргетинга на основе домена.
• Вариант SnipBot — .lnk запускает троянскую версию PuTTY CAC (двoичный файл ApbxHelper.exe), которая выполняет проверки обхода песочницы (включая проверку активности «последних документов») перед загрузкой и выполнением вторичных полезных нагрузок с серверов, контролируемых злоумышленником.
• Цепочки RustyClaw / MeltingClaw — выполнение .lnk Complaint.exe (RustyClaw), которое извлекает дополнительные вредоносные модули и использует отдельную инфраструктуру C2 для модульного управления и дальнейших действий.

Почему это важно

Случай демонстрирует, что архивные утилиты остаются привлекательным вектором первоначального доступа и скрытой доставки полезной нагрузки. Успешная эксплуатация позволяет обойти привычные механизмы защиты (обычные расширения файлов, контроль целевых путей при извлечении) и использовать механизмы Windows (ADS, COM регистрации, .lnk) для повышения степени скрытности атаки.

Рекомендации по защите и обнаружению

• Немедленно обновить WinRAR/UnRAR до версий с исправлением уязвимости (проверять официальные релизы разработчика).
• Мониторить и фиксировать изменения в реестре, связанные с регистрацией COM-интерфейсов, в частности PSFactoryBuffer, — это индикатор возможного COM hijacking.
• Отслеживать аномальные операции с ярлыками (.lnk): их создание, запуск и нетипичные параметры запуска.
• Искать в %TEMP% и других временных каталогах несанкционированные DLL/файлы, а также подозрительные имена вроде ApbxHelper.exe.
• Контролировать процессы извлечения архивов на предмет неожиданного извлечения содержимого ADS и записи файлов вне целевых директорий.
• Ограничить автоматическое извлечение и выполнение содержимого из архивов в средах с повышенным риском (почтовые шлюзы, конечные точки сотрудников с внешним доступом).
• Блокировать известные домены и IP инфраструктуры C2 по мере появления IOC, а также анализировать сетевую телеметрию на предмет домен-ориентированного таргетинга.
• Проводить обучение пользователей по распознаванию фишинговых писем и опасных вложений; использовать мультифакторную аутентификацию и принцип наименьших привилегий.

Вывод

Уязвимость CVE-2025-8088 — очередное напоминание о том, что даже инструменты повседневного пользования (архиваторы) могут служить каналом для сложных и скрытных атак. Своевременное обновление ПО, внедрение детекции аномалий (COM hijacking, подозрительные .lnk, неожиданные извлечения ADS) и проактивная блокировка известной инфраструктуры злоумышленников — ключевые меры для снижения риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "CVE-2025-8088: WinRAR path traversal — эксплуатация через ADS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.