- 19,666
- 44
- 8 Ноя 2022
WinRAR без патча проживёт в безопасности максимум сутки.
Недавно закрытая Для просмотра ссылки Войдиили Зарегистрируйся с идентификатором CVE-2025-8088 оказалась задействована в целевых фишинговых атаках ещё до выхода исправления. Проблема относилась к классу Для просмотра ссылки Войди или Зарегистрируйся и устранялась лишь в версии WinRAR 7.13. Она позволяла злоумышленникам формировать специальные архивы, при распаковке которых файлы оказывались не в папке, выбранной пользователем, а в каталоге, прописанном атакующим. Такой механизм открывал возможность обхода стандартных ограничений и внедрения вредоносного кода в критически важные директории Windows.
В отличие от привычного сценария, когда распаковка идёт в заранее указанное место, уязвимость позволяла подменить путь, чтобы перенаправить содержимое в автозагрузочные папки операционной системы. Среди таких директорий — Startup-папка конкретного пользователя (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) и системный автозапуск для всех учётных записей (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp). При следующем входе в систему любой исполняемый файл, помещённый туда через уязвимость, запускался автоматически, что фактически давало злоумышленнику возможность удалённого выполнения кода без участия жертвы.
Проблема затрагивала только Windows-редакции WinRAR, RAR, UnRAR, их портативные версии и библиотеку UnRAR.dll. Варианты для Unix-платформ, Android и соответствующие исходные коды этой уязвимости не имели.
Особую опасность ситуации усиливал тот факт, что Для просмотра ссылки Войдиили Зарегистрируйся . Пользователи, которые не следят за выпуском новых версий, могли месяцами оставаться под угрозой атаки, не подозревая об этом. Разработчики настоятельно рекомендуют вручную загрузить и установить WinRAR 7.13 с официального сайта win-rar.com, чтобы исключить возможность эксплуатации данной ошибки.
Уязвимость выявили Для просмотра ссылки Войдиили Зарегистрируйся Антон Черепанов, Петер Кошинар и Петер Стричек. Последний подтвердил, что она использовалась в реальных Для просмотра ссылки Войди или Зарегистрируйся для установки вредоносного ПО RomCom. В рамках атак рассылались письма с прикреплёнными RAR-архивами, в которых был зашит эксплойт CVE-2025-8088.
Для просмотра ссылки Войдиили Зарегистрируйся — это группировка, также известная под названиями Storm-0978, Tropical Scorpius или UNC2596. Она специализируется на атаках с применением программ-вымогателей, похищении данных и вымогательстве, а также проводит кампании по краже учётных данных. В её арсенале — собственные вредоносы, которые используются для длительного присутствия в системе, кражи информации и создания бэкдоров, обеспечивающих скрытый доступ к заражённым устройствам.
Группа известна тем, что активно использует нулевые дни в атаках, а также сотрудничает с другими вымогательными операциями, включая Cuba и Industrial Spy. Текущая кампания с использованием уязвимости в WinRAR — лишь очередной пример того, как RomCom комбинирует технически сложные методы взлома с социальной инженерией, чтобы преодолевать защиту и внедряться в корпоративные сети.
ESET уже готовит развернутый отчёт о произошедшем, в котором будут подробно описаны методы эксплуатации и технические детали выявленных атак.
Недавно закрытая Для просмотра ссылки Войди
В отличие от привычного сценария, когда распаковка идёт в заранее указанное место, уязвимость позволяла подменить путь, чтобы перенаправить содержимое в автозагрузочные папки операционной системы. Среди таких директорий — Startup-папка конкретного пользователя (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) и системный автозапуск для всех учётных записей (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp). При следующем входе в систему любой исполняемый файл, помещённый туда через уязвимость, запускался автоматически, что фактически давало злоумышленнику возможность удалённого выполнения кода без участия жертвы.
Проблема затрагивала только Windows-редакции WinRAR, RAR, UnRAR, их портативные версии и библиотеку UnRAR.dll. Варианты для Unix-платформ, Android и соответствующие исходные коды этой уязвимости не имели.
Особую опасность ситуации усиливал тот факт, что Для просмотра ссылки Войди
Уязвимость выявили Для просмотра ссылки Войди
Для просмотра ссылки Войди
Группа известна тем, что активно использует нулевые дни в атаках, а также сотрудничает с другими вымогательными операциями, включая Cuba и Industrial Spy. Текущая кампания с использованием уязвимости в WinRAR — лишь очередной пример того, как RomCom комбинирует технически сложные методы взлома с социальной инженерией, чтобы преодолевать защиту и внедряться в корпоративные сети.
ESET уже готовит развернутый отчёт о произошедшем, в котором будут подробно описаны методы эксплуатации и технические детали выявленных атак.
- Источник новости
- www.securitylab.ru
