CVE-2025-8088: Analisi tecnica della vulnerabilità critica in WinRAR sfruttata per distribuire RomCom
Vulnerabilità path traversal in WinRAR (CVE-2025-8088) sfruttata attivamente per estrarre file malevoli nelle cartelle di avvio automatico di Windows tramite s…
Contenuto
Scopri anche
CVE-2025-8088: Analisi tecnica della vulnerabilità critica in WinRAR sfruttata per distribuire RomCom
Una nuova vulnerabilità critica in WinRAR, identificata come CVE-2025-8088, è stata scoperta e sfruttata attivamente per diffondere malware tramite archivi malevoli. Il team di ricerca ESET ha segnalato l’esistenza della falla il 18 luglio 2025. Si tratta di una vulnerabilità di tipo directory traversal che sfrutta gli Alternate Data Streams (ADS) degli archivi RAR per estrarre file in cartelle sensibili di sistema, come quelle di avvio automatico, garantendo l’esecuzione automatica alla successiva accensione del sistema.
Meccanismo tecnico dello sfruttamento
⬆ Torna suLa vulnerabilità, che ha un punteggio CVSS di 8.4, interessa le versioni di WinRAR 7.12 e inferiori e componenti correlati tra cui UnRAR.dll. Gli aggressori possono creare archivi RAR malevoli che, quando aperti con una versione vulnerabile di WinRAR, consentono di scrivere file in posizioni arbitrarie sul sistema. La catena di sfruttamento prevede spesso la dissimulazione del file malevolo all'interno dell'Alternate Data Stream di un file esca all'interno dell'archivio. Mentre l'utente visualizza tipicamente un documento esca (come un PDF), sono presenti anche voci ADS malevole, alcune contenenti un payload nascosto.
Il payload viene scritto con un percorso appositamente creato per effettuare un directory traversal, prendendo di frequente di mira la cartella di avvio automatico di Windows per ottenere persistenza. La chiave del path traversal è l'uso della funzionalità ADS combinata con caratteri di traversamento delle directory. Ad esempio, un file all'interno dell'archivio RAR potrebbe avere un nome composto come "innocuous.pdf:malicious.lnk" combinato con un percorso malevolo: "../../../../../Users/ /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk". Quando l'archivio viene aperto, il contenuto ADS (malicious.lnk) viene estratto nella destinazione specificata dal percorso di traversamento, eseguendo automaticamente il payload al successivo accesso dell'utente.
Il malware RomCom e gli attori della minaccia
⬆ Torna suLe campagne di sfruttamento identificate distribuiscono il malware RomCom, collegato a un collettivo di hacking di origine russa, noto con diversi alias tra cui UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180 e UNC2596. Questo gruppo è ritenuto anche responsabile delle operazioni del famigerato ransomware Cuba. Noto per tecniche di hacking avanzate, è attivo almeno dal 2019 e è famigerato per aver distribuito diverse famiglie di malware, incluso RomCom RAT e SystemBC. Il rapporto ESET più recente ha identificato tre catene di attacco separate che distribuiscono note iterazioni del malware RomCom: Mythic Agent, SnipBot e MeltingClaw.
La catena di esecuzione di Mythic Agent viene attivata tramite Updater.lnk, che aggiunge msedge.dll a una posizione del registro di hijack COM. Questa DLL decritta lo shellcode AES e si esegue solo se il dominio di sistema corrisponde a un valore hardcoded, avviando l'agente Mythic per le comunicazioni C2, l'esecuzione di comandi e la distribuzione di payload. Un'altra catena di infezione causa la distribuzione della variante malware SnipBot, attivata dall'avvio tramite Display Settings.lnk, che esegue ApbxHelper.exe. La terza falla di esecuzione legata alla distribuzione del malware MeltingClaw è avviata da Settings.lnk, che a sua volta esegue Complaint.exe (RustyClaw).
Vettore di attacco: spear-phishing mirato
⬆ Torna suIl malware viene distribuito via spear-phishing, ovvero allegati RAR inviati tramite email mirate. Le email di spearphishing di RomCom includono ora archivi RAR weaponizzati come allegati e prendono di mira aziende finanziarie, manifatturiere, della difesa e logistiche in Europa e Canada. L'archivio include file ADS nascosti, uno dei quali può essere un eseguibile o un collegamento (.LNK) che, una volta estratto in una cartella come %APPDATA%\...Startup, viene eseguito automaticamente dopo il login. Gli aggressori creano un archivio che estrae eseguibili malevoli nelle cartelli di autorun, come quella specifica dell'utente %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o a livello di macchina %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp.
Risposta e mitigazione
⬆ Torna suWinRAR ha risolto la vulnerabilità con la versione 7.13, rilasciata il 30 luglio 2025. L'aggiornamento corregge l'applicazione desktop WinRAR, il codice sorgente portabile UnRAR e i componenti UnRAR.dll. Tuttavia, mancando un sistema di aggiornamento automatico per il software, è cruciale che gli utenti procedano immediatamente all’installazione della versione aggiornata scaricandola direttamente dal sito ufficiale. Le organizzazioni dovrebbero anche aggiornare qualsiasi software che fa affidamento su UnRAR.dll alla versione 7.13 Final. In ambienti complessi, è imperativo condurre scansioni di vulnerabilità approfondite per garantire che tutte le istanze interessate vengano corrette e verificare ulteriormente lo stato della patch dopo la rimediazione.
Google Threat Intelligence Group raccomanda l'uso di Google Safe Browsing e Gmail, che identificano attivamente e bloccano i file contenenti l'esploit. Per ridurre i rischi, gli esperti consigliano di diffidare sempre degli inviti non richiesti, controllare con attenzione i link prima di cliccarli e non chiamare numeri indicati in email sospette. Segnalare questi messaggi e proteggere i propri account con l’autenticazione a più fattori resta una delle difese più efficaci.
Sfruttamento da parte di attori diversificati
⬆ Torna suL'utilizzo diffuso di CVE-2025-8088 da parte di attori diversificati evidenzia la domanda di exploit efficaci. Groupi legati a Russia e Cina, oltre ad attori motivati finanziariamente, continuano a sfruttare questa n-day in operazioni disparate. APT44 (FROZENBARENTS), TEMP.Armageddon (CARPATHIAN) e Turla (SUMMIT) sono esempi di gruppi sponsorizzati dallo stato che sfruttano la vulnerabilità, principalmente contro obiettivi militari e governativi ucraini. Anche gli attori motivati finanziariamente hanno rapidamente adottato la vulnerabilità per distribuire RAT commerciali e information stealer contro obiettivi commerciali.
La domanda è soddisfatta dall'economia sotterranea dove individui e gruppi si specializzano nello sviluppo e nella vendita di exploit a una vasta gamma di clienti. Un esempio notevole di fornitore upstream è l'attore noto come "zeroplayer", che ha pubblicizzato un exploit per WinRAR a luglio 2025. L'attività continua di zeroplayer come fornitore upstream di exploit evidenzia la continua commoditizzazione del ciclo di vita dell'attacco.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://hackerjournal.it/14389/scoperta-falla-grave-in-winrar/
- https://socprime.com/blog/detect-cve-2025-8088-exploitation-for-romcom-delivery/
- https://www.greenbone.net/en/blog/new-winrar-flaw-cve-2025-8088-exploited-in-social-engineering-attacks/
- https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability
In breve
- winrar
- romcom
- directorytraversal
- alternatedatastreams