2025年8月11日Ravie Lakshmananゼロデイ / 脆弱性
WinRARファイルアーカイブユーティリティの管理者は、現在積極的に悪用されているゼロデイ脆弱性に対処するためのアップデートをリリースしました。
CVE-2025-8088(CVSSスコア: 8.8)として追跡されているこの問題は、Windows版ツールに影響するパストラバーサルのケースであり、悪意のあるアーカイブファイルを作成することで任意のコード実行を取得するために悪用される可能性があります。
「ファイルを展開する際、WinRARの以前のバージョンやWindows版RAR、UnRAR、ポータブルUnRARのソースコード、UnRAR.dllは、特別に細工されたアーカイブで定義されたパスを指定されたパスの代わりに使用するように騙される可能性があります」と、WinRARはアドバイザリで述べています。
ESETのAnton Cherepanov氏、Peter Kosinar氏、Peter Strycek氏がこのセキュリティ欠陥の発見と報告に貢献しており、2025年7月31日にリリースされたWinRARバージョン7.13で対処されました。
現時点では、この脆弱性が現実世界の攻撃でどのように武器化されているか、また誰によって行われているかは不明です。2023年には、WinRARに影響する別の脆弱性(CVE-2023-38831、CVSSスコア: 7.8)が、中国やロシアの複数の脅威アクターによってゼロデイとして大規模に悪用されました。
ロシアのサイバーセキュリティベンダーBI.ZONEは、先週公開したレポートで、Paper Werewolf(別名GOFFEE)として追跡されているハッキンググループが、2025年6月にパッチが適用されたWinRARのWindows版のディレクトリトラバーサルバグCVE-2025-6218とともにCVE-2025-8088を利用した可能性があると指摘しています。
これらの攻撃の前に、「zeroplayer」と特定された脅威アクターが、2025年7月7日にロシア語のダークウェブフォーラムExploit.inで8万ドルの価格でWinRARのゼロデイエクスプロイトを宣伝していたことに注意が必要です。Paper Werewolfのアクターがこれを入手し、攻撃に使用した可能性が疑われています。
「Windows向けのWinRAR、RAR、UnRAR、UnRAR.dll、ポータブルUnRARソースコードの以前のバージョンでは、任意のコードを含む特別に細工されたアーカイブを利用して、展開時にファイルパスを操作することが可能でした」と、WinRARは当時CVE-2025-6218に関する警告で述べています。
「この脆弱性を悪用するにはユーザーの操作が必要ですが、意図しないディレクトリの外にファイルが書き込まれる可能性があります。この欠陥は、Windowsのスタートアップフォルダなどの機密性の高い場所にファイルを配置し、次回システムログイン時に意図しないコード実行につながる恐れがあります。」
BI.ZONEによると、これらの攻撃は2025年7月にロシアの組織を標的にして行われ、罠が仕掛けられたアーカイブを含むフィッシングメールを介して、CVE-2025-6218およびおそらくCVE-2025-8088が発動し、ターゲットディレクトリ外へのファイル書き込みとコード実行が達成され、同時に被害者にはおとり文書が表示されて注意をそらされていました。
「この脆弱性は、RARアーカイブ作成時に相対パスを含む名前の代替データストリームを含めることができる点に関連しています」とBI.ZONEは述べています。「これらのストリームには任意のペイロードを含めることができます。このようなアーカイブを展開したり、アーカイブから直接添付ファイルを開いたりすると、代替ストリームのデータがディスク上の任意のディレクトリに書き込まれ、ディレクトリトラバーサル攻撃となります。」
「この脆弱性はバージョン7.12までのWinRARに影響します。バージョン7.13以降ではこの脆弱性は再現しません。」
問題の悪意あるペイロードの1つは、システム情報を外部サーバーに送信し、暗号化された.NETアセンブリを含む追加のマルウェアを受信するよう設計された.NETローダーです。
「Paper WerewolfはC#ローダーを使用して被害者のコンピュータ名を取得し、生成されたリンクでサーバーに送信してペイロードを取得します」と同社は付け加えています。「Paper Werewolfはリバースシェルでソケットを使用してコントロールサーバーと通信します。」
翻訳元: https://thehackernews.com/2025/08/winrar-zero-day-under-active.html