WinRAR 漏洞（CVE-2025-8088）在解压缩时植入恶意软件

抖音热门 2025年08月11日 15:45 1 admin

最近修复的 WinRAR 漏洞（CVE-2025-8088）被利用作为0day漏洞进行网络钓鱼攻击，以安装 RomCom 恶意软件。

该漏洞是一个目录遍历漏洞，已在 WinRAR 7.13 中修复，该漏洞允许特制档案将文件提取到攻击者选择的文件路径中。

WinRAR 7.13更新日志中写道：“提取文件时，以前版本的 WinRAR、UnRAR、便携式 UnRAR 源代码和 UnRAR.dll 可能会被诱骗使用特制存档中定义的路径，而不是用户指定的路径。”

Unix 版本的 RAR、UnRAR、便携式 UnRAR 源代码和 UnRAR 库以及 Android 版 RAR 均不受影响。

利用此漏洞，攻击者可以创建将可执行文件提取到自动运行路径的档案，例如位于以下位置的 Windows 启动文件夹：

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)

%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

下次用户登录时，该可执行文件将自动运行，从而允许攻击者实现远程代码执行。

由于 WinRAR 不包含自动更新功能，强烈建议所有用户从win-rar.com手动下载并安装最新版本，以免受此漏洞的侵害。

被利用为0day攻击

ESET 研究人员发现，该漏洞被积极利用在网络钓鱼攻击中来安装恶意软件，附件中包含 RAR 文件的鱼叉式网络钓鱼电子邮件。

这些档案利用 CVE-2025-8088 漏洞来传播 RomCom 后门。RomCom 是一个与俄罗斯有关的威胁组织。

RomCom（也被追踪为 Storm-0978、Tropical Scorpius 或 UNC2596），与勒索软件和数据盗窃敲诈攻击以及专注于窃取凭证的活动有关。

RomCom 此前曾与多起勒索软件行动有关，包括 Cuba和 Industrial Spy。

发表评论