آکادمی لیان

بهره‌برداری از آسیب پذیری zero-day در WinRAR جهت انتشار malware حین استخراج فایل‌ها

سجاد تیموری ارسال به ایمیل 44 ثانیه پیشآخرین بروزرسانی: مرداد ۲۱, ۱۴۰۴
۰ 0 زمان مطالعه یک دقیقه
بهره‌برداری از آسیب پذیری zero-day در WinRAR جهت انتشار malware حین استخراج فایل‌ها
بهره‌برداری از آسیب پذیری zero-day در WinRAR جهت انتشار malware حین استخراج فایل‌ها

آسیب‌پذیری WinRAR که اخیراً با شناسه CVE-2025-8088 برطرف شده است، به‌عنوان یک zero-day در حملات phishing برای نصب RomCom malware مورد سوءاستفاده قرار گرفت.

این نقص یک آسیب‌پذیری directory traversal است که در نسخه WinRAR 7.13 رفع شده و به مهاجم امکان می‌دهد archive‌های ساختگی ایجاد کند که فایل‌ها را در مسیر دلخواه مهاجم استخراج کنند.

در changelog نسخه ۷٫۱۳ آمده است:

«در هنگام استخراج فایل، نسخه‌های قبلی WinRAR، نسخه‌های Windows ابزار RAR، UnRAR، کد منبع قابل حمل UnRAR و کتابخانه UnRAR.dll می‌توانند با استفاده از مسیر تعریف‌شده در یک archive ساختگی، به‌جای مسیر تعیین‌شده توسط کاربر، فریب داده شوند.»

نسخه‌های Unix ابزار RAR، UnRAR، کد منبع قابل حمل UnRAR، کتابخانه UnRAR و همچنین RAR برای Android تحت تأثیر این آسیب‌پذیری قرار ندارند.

آکادمی لیان

با بهره‌برداری از این آسیب‌پذیری، مهاجمان قادرند archive‌هایی ایجاد کنند که فایل‌های اجرایی (executables) را در مسیرهای autorun مانند پوشه Windows Startup استخراج کنند.

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

در ورود بعدی کاربر به سیستم، فایل اجرایی به‌صورت خودکار اجرا شده و به مهاجم امکان Remote Code Execution می‌دهد.

از آن‌جایی که WinRAR فاقد قابلیت auto-update است، به‌شدت توصیه می‌شود تمام کاربران نسخه‌ی جدید را به‌صورت دستی از win-rar.com دانلود و نصب کنند تا در برابر این آسیب‌پذیری ایمن باشند.

بهره‌برداری به‌عنوان zero-day در حملات
این نقص توسط Anton Cherepanov، Peter Košinár و Peter Strýček از شرکت ESET کشف شد. Strýček به BleepingComputer اعلام کرد که این آسیب‌پذیری به‌طور فعال در حملات phishing برای نصب malware مورد سوءاستفاده قرار گرفته است.

به گفته Strýček:

«ESET ایمیل‌های spearphishing با پیوست‌های حاوی فایل‌های RAR را مشاهده کرده است.»

این archive‌ها از CVE-2025-8088 برای تحویل RomCom backdoors سوءاستفاده کرده‌اند. RomCom یک گروه وابسته به روسیه است.

RomCom (با نام‌های دیگر Storm-0978، Tropical Scorpius یا UNC2596) یک گروه هکری روسی است که با حملات ransomware و اخاذی از طریق سرقت داده‌ها، و همچنین کمپین‌های سرقت credentials مرتبط است.

این گروه به دلیل استفاده از آسیب‌پذیری‌های zero-day در حملات و به‌کارگیری custom malware برای سرقت داده، حفظ persistence و ایجاد backdoor شناخته شده است.

RomCom پیش‌تر با چندین عملیات ransomware از جمله Cuba و Industrial Spy مرتبط بوده است.

شرکت ESET در حال تهیه گزارشی درباره نحوه سوءاستفاده از این آسیب‌پذیری است که در آینده منتشر خواهد شد.

سجاد تیموری ارسال به ایمیل 44 ثانیه پیشآخرین بروزرسانی: مرداد ۲۱, ۱۴۰۴
۰ 0 زمان مطالعه یک دقیقه
آکادمی لیان

نوشته های مشابه

ارائه به‌روزرسانی Android برای مقابله با سوءاستفاده از باگ‌های Qualcomm

ارائه به‌روزرسانی Android برای مقابله با سوءاستفاده از باگ‌های Qualcomm

3 روز پیش
وصله فوری Adobe برای نقص‌های امنیتی بحرانی در AEM Forms

وصله فوری Adobe برای نقص‌های امنیتی بحرانی در AEM Forms

3 روز پیش
Microsoft میزان Zero Day Quest prize pool را به ۵ میلیون دلار افزایش داد

Microsoft میزان Zero Day Quest prize pool را به ۵ میلیون دلار افزایش داد

3 روز پیش
Proton آسیب‌پذیری مربوط به افشای TOTP Secrets در لاگ‌ها را در Authenticator برطرف کرد

Proton آسیب‌پذیری مربوط به افشای TOTP Secrets در لاگ‌ها را در Authenticator برطرف کرد

3 روز پیش

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا