Vulnerabilità CVE-2025-8088 in WinRAR: sfruttamento attivo per la distribuzione del malware RomCom
Analisi della vulnerabilità critica CVE-2025-8088 in WinRAR, già sfruttata come zero-day per campagne di phishing mirate e distribuzione di backdoor.
Contenuto
Scopri anche
- CVE-2025-8088: Analisi tecnica della vulnerabilità critica in WinRAR sfruttata per distribuire RomCom
- Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
- Patch Tuesday gennaio 2026: Microsoft corregge 114 vulnerabilità tra cui zero-day già sfruttata
- Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
- iOS 26.2: Patch Urgente Apple per Due Zero-Day in WebKit
Vulnerabilità CVE-2025-8088 in WinRAR: sfruttamento attivo per la distribuzione del malware RomCom
Una vulnerabilità critica identificata come CVE-2025-8088 interessa il popolare software di compressione WinRAR. Si tratta di un problema di path traversal che, durante l’estrazione di archivi RAR appositamente modificati, può indurre il software a posizionare file al di fuori della cartella scelta dall’utente. Questo comportamento consente a un utente malintenzionato di piazzare file in directory sensibili del sistema, favorendo la persistenza di malware. L’esecuzione di codice arbitrario è possibile a condizione che l’utente apra manualmente l’archivio compromesso.
Meccanismo di sfruttamento e tecniche associate
⬆ Torna suLa procedura di sfruttamento prevede la creazione di un file archivio malevolo che, una volta estratto dalla vittima, sfrutta la vulnerabilità per collocare un eseguibile dannoso in cartelle di avvio automatico di Windows. Queste includono la directory specifica dell’utente (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) o quella a livello di macchina (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp). In questo modo, il malware viene eseguito automaticamente al successivo accesso dell’utente, raggiungendo l’obiettivo di esecuzione remota di codice. Alcuni exploit osservati abusano anche degli Alternate Data Streams (ADS), una funzionalità legittima del file system NTFS che può essere sfruttata per occultare i payload malevoli, rendendo più complessa l’individuazione da parte dei software di sicurezza.
RomCom: il malware distribuito tramite la falla
⬆ Torna suLa vulnerabilità CVE-2025-8088 è stata sfruttata attivamente come zero-day in campagne di phishing mirate per distribuire il malware RomCom. Questo backdoor è associato a un collettivo di hacking di origine russa, noto con diversi alias come UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180 e UNC2596. Lo stesso gruppo è ritenuto responsabile delle operazioni del ransomware Cuba. RomCom è noto per essere stato utilizzato in passato per colpire enti statali ucraini, indicando possibili legami con operazioni di cyberspionaggio a favore del governo di Mosca. I ricercatori di sicurezza hanno identificato tre diverse catene di attacco collegate a questa campagna, che distribuiscono varianti di RomCom denominate Mythic Agent, SnipBot e MeltingClaw.
Scoperta e tempistiche dello sfruttamento
⬆ Torna suI primi segnali dell’attacco sono stati individuati dai ricercatori di ESET il 18 luglio 2025, attraverso i loro sistemi di telemetria che hanno rilevato un file posizionato in una directory dal percorso insolito. Sei giorni dopo, gli analisti hanno compreso di trovarsi di fronte allo sfruttamento di una vulnerabilità fino a quel momento sconosciuta in WinRAR. La tempestiva segnalazione a RARLAB, lo sviluppatore di WinRAR, ha portato al rilascio di una patch con la versione 7.13 del software il 30 luglio 2025. Tuttavia, l’assenza di un sistema di aggiornamento automatico integrato in WinRAR fa sì che molti utenti possano ancora utilizzare versioni vulnerabili.
Coinvolgimento di più gruppi criminali
⬆ Torna suLa situazione si è rivelata particolarmente complessa quando è emerso che un secondo gruppo criminale, noto come Paper Werewolf (o GOFFEE), stava sfruttando simultaneamente la stessa vulnerabilità CVE-2025-8088. Questo gruppo ha utilizzato anche CVE-2025-6218, un’altra grave falla di WinRAR corretta cinque settimane prima. La presenza di due gruppi distinti che sfruttano lo stesso zero-day suggerisce l’esistenza di un mercato sotterraneo degli exploit più strutturato del previsto, indicando una possibile condivisione di intelligence tra organizzazioni criminali o l’acquisizione degli exploit da fornitori comuni nel dark web.
Raccomandazioni e mitigazioni
⬆ Torna suLa raccomandazione primaria è aggiornare immediatamente WinRAR alla versione 7.13 o successiva. È consigliato prestare massima attenzione agli archivi provenienti da fonti non affidabili. In ambito aziendale, si raccomanda di affiancare strumenti di protezione avanzati come soluzioni EDR (Endpoint Detection and Response) e filtri sugli allegati email. Per il rilevamento proattivo, i team di sicurezza possono fare affidamento su regole di detection specifiche per lo sfruttamento di CVE-2025-8088 e per le firme del malware RomCom. È inoltre disponibile in rete un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità, il che aumenta l’urgenza di applicare le correzioni.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.telefonino.net/notizie/hai-aggiornato-winrar-una-falla-grave-espone-milioni-di-pc-al-rischio/
- https://socprime.com/blog/detect-cve-2025-8088-exploitation-for-romcom-delivery/
- https://www.acn.gov.it/portale/en/w/rilevato-sfruttamento-in-rete-della-cve-2025-8088-relativa-a-winrar
- https://www.tomshw.it/hardware/winrar-vulnerabile-exploit-zero-day-da-settimane-2025-08-12
In breve
- winrar
- romcom
- path-traversal
- zero-day