WinRAR 出现零日漏洞, 已遭多方利用
流行压缩工具 WinRAR 被曝存在高危路径遍历漏洞(CVE-2025-8088),可在用户解压特制压缩包时,将恶意 DLL、EXE 或快捷方式(LNK)文件写入系统关键目录,并在 Windows 启动时自动运行,实现持久化控制。该漏洞影响 WinRAR 及相关 Windows 解压组件(包括 UnRAR.dll 与便携源码),不涉及 Unix 与 Android 版本。
安全公司 ESET 于 7 月 18 日首次捕获攻击样本,确认漏洞已被俄罗斯背景的 RomCom 黑客组织(又称 Storm-0978、Tropical Scorpius)在野利用,通过钓鱼邮件投递恶意压缩包,变体攻击链可部署 Mythic Agent 后门、SnipBot 以及 MeltingClaw 等恶意程序,具备远程控制、模块下载与数据窃取功能。其利用点包括备用数据流(ADS)和 COM 劫持,以绕过文件路径限制。
俄罗斯本土安全公司 Bi.Zone 还监测到另一团伙 Paper Werewolf 同期利用 CVE-2025-8088,以及此前的 CVE-2025-6218 漏洞发动攻击,手法同样以邮件附件伪装合法文件,解压即中招。部分恶意 DLL 会校验目标环境以规避沙箱分析。
RARLAB 已在 7 月 30 日发布 WinRAR 7.13 修复漏洞,但由于软件不具备自动更新功能,补丁覆盖率有限。厂商在更新公告中未明确披露漏洞已遭利用,并称尚未收到直接受害报告。ESET 警告,该漏洞利用门槛低、传播快,全球数亿未升级用户可能面临长期入侵与信息外泄风险。建议用户从官网下载并手动更新至 7.13 及以上版本,并警惕未知来源的压缩包,启用安全网关及杀毒软件实时防护,防止恶意文件写入敏感路径。
(综合媒体报道)
流行压缩工具 WinRAR 被曝存在高危路径遍历漏洞(CVE-2025-8088),可在用户解压特制压缩包时,将恶意 DLL、EXE 或快捷方式(LNK)文件写入系统关键目录,并在 Windows 启动时自动运行,实现持久化控制。该漏洞影响 WinRAR 及相关 Windows 解压组件(包括 UnRAR.dll 与便携源码),不涉及 Unix 与 Android 版本。
安全公司 ESET 于 7 月 18 日首次捕获攻击样本,确认漏洞已被俄罗斯背景的 RomCom 黑客组织(又称 Storm-0978、Tropical Scorpius)在野利用,通过钓鱼邮件投递恶意压缩包,变体攻击链可部署 Mythic Agent 后门、SnipBot 以及 MeltingClaw 等恶意程序,具备远程控制、模块下载与数据窃取功能。其利用点包括备用数据流(ADS)和 COM 劫持,以绕过文件路径限制。
俄罗斯本土安全公司 Bi.Zone 还监测到另一团伙 Paper Werewolf 同期利用 CVE-2025-8088,以及此前的 CVE-2025-6218 漏洞发动攻击,手法同样以邮件附件伪装合法文件,解压即中招。部分恶意 DLL 会校验目标环境以规避沙箱分析。
RARLAB 已在 7 月 30 日发布 WinRAR 7.13 修复漏洞,但由于软件不具备自动更新功能,补丁覆盖率有限。厂商在更新公告中未明确披露漏洞已遭利用,并称尚未收到直接受害报告。ESET 警告,该漏洞利用门槛低、传播快,全球数亿未升级用户可能面临长期入侵与信息外泄风险。建议用户从官网下载并手动更新至 7.13 及以上版本,并警惕未知来源的压缩包,启用安全网关及杀毒软件实时防护,防止恶意文件写入敏感路径。
(综合媒体报道)
