WinRAR остава под прицел през 2026: path traversal пробивът все още се използва в атаки
Таблица със съдържание
Популярният архивен софтуер WinRAR продължава да бъде основна цел за киберпрестъпници, като критични уязвимости от типа path traversal активно се експлоатират от множество хакерски групи по целия свят. Въпреки пускането на патчове, милиони потребители остават изложени на риск, а експертите по киберсигурност предупреждават за масово разпространение на злонамерени атаки.
Историята на една опасна уязвимост
WinRAR, с над 500 милиона активни потребители по света, е едно от най-използваните приложения за компресиране и разархивиране на файлове. Тази огромна база от потребители обаче го прави изключително примамлива цел за киберпрестъпници. През последните години софтуерът стана свидетел на серия от критични security пробиви, като най-новите уязвимости от типа path traversal представляват особено сериозна заплаха.
Проблемите започнаха още през 2023 година с CVE-2023-38831, която беше интензивно експлоатирана от руски и китайски хакерски групи. Тази уязвимост позволяваше на атакуващите да скриват зловреден код в архивни файлове, който се изпълняваше автоматично при опит за достъп до безобидно изглеждащ файл.
Новите заплахи: CVE-2025-6218 и CVE-2025-8088
През 2025 година ситуацията се влоши драматично с появата на две нови критични уязвимости. CVE-2025-6218, открита през юни 2025, представлява класически path traversal пробив с CVSS оценка от 7.8 точки. Месец по-късно, през юли 2025, изследователите от ESET откриха още по-опасната CVE-2025-8088 с оценка 8.8, която използва алтернативни потоци от данни (Alternate Data Streams) на NTFS файловата система.
Механизмът на атака е коварен и елегантен в същото време. Престъпниците създават специално модифицирани RAR архиви, които съдържат файлови пътища с последователности от типа „../“ или „..“. Когато потребителят екстрактира архива, WinRAR не валидира правилно тези пътища, което позволява на злонамерените файлове да бъдат записани извън предвидената директория за екстракция.
Как работи експлоатацията
Атаката обикновено започва с фишинг имейл, съдържащ прикачен архивен файл. Архивът изглежда безобиден – например резюме на кандидат за работа, бизнес документ или сканирано изображение. Вътре обаче е скрит зловреден код с манипулирано файлово име и път.
Когато жертвата екстрактира файловете, злонамереният payload се записва не в избраната от потребителя директория, а в критични системни локации като папката Startup на Windows. Резултатът е автоматично изпълнение на вредоносния код при следващото включване или влизане в системата.
Още по-опасната CVE-2025-8088 използва скрити NTFS Alternate Data Streams, които са напълно невидими за потребителя при преглед на архива в WinRAR. Когато се отвори привидно безобидният файл, всички скрити ADS потоци се екстрактират автоматично, поставяйки DLL файлове, LNK shortcuts или изпълними файлове в системни директории.
Кой експлоатира уязвимостите
Изследването на Google’s Threat Analysis Group разкри тревожна картина – множество държавно-спонсорирани хакерски групи и финансово мотивирани престъпници активно използват тези пробиви. Сред най-активните атакуващи са:
RomCom (UNC4895) – руско-свързана група, която използва CVE-2025-8088 като zero-day уязвимост още преди да бъде разкрита публично. Групата провежда таргетирани фишинг кампании срещу финансови, производствени, отбранителни и логистични компании в Европа и Канада, доставяйки различни бекдори като SnipBot, RustyClaw и Mythic agent.
Paper Werewolf (GOFFEE) – друга руска група, насочена предимно към организации в Русия. Изследователи наблюдават експлоатация на две уязвимости едновременно – CVE-2025-6218 и CVE-2025-8088, чрез фишинг имейли през юли 2025.
Bitter (APT-C-08) – група с фокус върху Южна Азия, която използва модифициран RAR архив за внедряване на троянски кон на C#. Атаката включва поставяне на зловреден файл Normal.dotm в глобалния template път на Microsoft Word, осигурявайки постоянен бекдор.
Gamaredon – руска хакерска група, таргетираща украински военни, правителствени и политически структури. Групата използва уязвимостта за разпространение на malware като Pteranodon и дори нов wiper, наречен GamaWiper – първият наблюдаван случай на деструктивни операции вместо традиционния шпионаж.
Turla (SUMMIT) – разгръща malware suite-а STOCKSTAY, използвайки теми свързани с украинската армия.
Освен държавните актьори, финансово мотивирани престъпници масово експлоатират пробивите за разпространение на commodity RAT инструменти и information stealers като XWorm, AsyncRAT, POISONIVY, както и backdoors контролирани чрез Telegram ботове.
Черният пазар на експлойти
Особено тревожен е фактът, че работещи експлойти се предлагат на черния пазар. Потребител под псевдонима „zeroplayer“ рекламира през юли 2025 година alleged zero-day експлойт за WinRAR на рускоезичен dark web форум Exploit.in за цената от $80,000. Същият актьор предлагаше и други високо-стойностни експлойти за Microsoft Office sandbox escape, корпоративни VPN RCE, Windows privilege escalation и bypass-и за security решения, с цени между $80,000 и $300,000.
Това явление показва комодитизацията на разработката на експлойти – процесът става все по-достъпен и намалява сложността за атакуващите, позволявайки им да таргетират непатчнати системи много бързо.
Институционална реакция
Сериозността на ситуацията принуди Американската агенция за киберсигурност и инфраструктурна защита (CISA) да добави CVE-2025-6218 в своя каталог с известни експлоатирани уязвимости (Known Exploited Vulnerabilities Catalog). Агенцията задължи федералните граждански изпълнителни агенции да приложат необходимите корекции до 30 декември 2025 година, за да защитят мрежите си от активни заплахи.
CISA издаде предупреждение: „RARLAB WinRAR съдържа уязвимост от типа path traversal, позволяваща на атакуващ да изпълни код в контекста на текущия потребител.“ Въпреки че директивата се отнася само за федерални агенции, CISA настоятелно призовава всички организации да редуцират експозицията си към кибератаки чрез приоритизиране на своевременното отстраняване на уязвимостите.
Техническите детайли имат значение
Основната причина за уязвимостта се крие в функциите RARReadHeader и RARProcessFile на WinRAR, които не нормализират или валидират относителните path компоненти като ‘../’ или ‘..’. Атакуващите могат да принудят записването на файлове извън директорията за екстракция без канонизация и ограничаване на output пътя.
Експлоатацията работи независимо дали архивният entry използва абсолютен път (пълен системен път) или относителен път с traversal последователности. Не се изисква презаписване на съществуващи файлове – уязвимостта позволява създаването на нови файлове на произволни локации.
При използването на CVE-2025-8088 с NTFS Alternate Data Streams, данните от алтернативните потоци се записват в произволни директории на диска по време на разархивиране. Това представлява класическа directory traversal атака, но използваща специфичните възможности на NTFS файловата система за скриване на допълнително съдържание.
Реалните последици
Въздействието от успешна експлоатация е тежко. След като злонамерените файлове бъдат поставени в критични директории като Startup папката, те се изпълняват автоматично с правата на потребителя. Това позволява на атакуващите да:
- Установят постоянен достъп до компрометираната система
- Внедрят keyloggers за кражба на чувствителни данни
- Извършват screenshot capture за събиране на информация
- Крадат RDP credentials за lateral movement в мрежата
- Изнасят конфиденциални файлове и документи
- Разгръщат ransomware за криптиране на данни
- Извършват деструктивни операции с wipers
Качеството на Vulnerabilities Score (QVS) от Qualys за CVE-2025-8088 достига 95 точки, което показва изключително високия риск, базиран на множество фактори включително активна експлоатация, зрялост на exploit кода и добавянето в CISA Known Exploitable каталога.
Какви версии са засегнати
Критично е да се разбере обхватът на уязвимостите. CVE-2025-6218 засяга всички версии на WinRAR до и включително 7.11, издадени преди юни 2025. CVE-2025-8088 засяга версии до 7.12, издадени преди юли 2025.
Важно е да се отбележи, че засегнати са само Windows версиите на WinRAR, RAR, UnRAR, portable UnRAR source code и UnRAR.dll. Unix версиите на RAR, UnRAR и portable UnRAR source code, както и RAR за Android, не са засегнати от тези специфични уязвимости.
Софтуерни решения, които разчитат на публично достъпните Windows версии на UnRAR.dll или съответния source code, също са уязвими, особено ако не са актуализирали зависимостите си.
Препоръки за защита
Експертите по киберсигурност настоятелно препоръчват незабавни действия за митигиране на риска:
Първа линия на защита – актуализация
Най-ефективната защита е незабавната актуализация до най-новата версия. WinRAR 7.12 Beta 1 или по-нова е необходима за закърпване на CVE-2025-6218, докато WinRAR 7.13, издадена на 30 юли 2025, адресира и двете уязвимости. Тъй като WinRAR не се актуализира автоматично, потребителите трябва ръчно да изтеглят и инсталират новата версия от официалния сайт.
Допълнителни защитни мерки
Ако незабавната актуализация не е възможна, организациите трябва да приложат многопластова защитна стратегия:
Email security: Усилване на имейл филтрите за блокиране или карантиниране на RAR прикачени файлове от неизвестни подателі. Внедряване на advanced threat protection решения за анализ на архивни файлове.
User awareness: Провеждане на training сесии за разпознаване на фишинг атаки. Потребителите трябва да бъдат внимателни към неочаквани архивни файлове, особено резюмета, бизнес документи или „спешни“ материали от непознати подателі.
Sandbox extraction: Екстрактване на подозрителни архиви само в изолирани среди или виртуални машини без мрежова свързаност.
Endpoint protection: Използване на модерни EDR (Endpoint Detection and Response) решения, които могат да детектират suspicious behavior като неочаквани файлове в Startup директорията или нестандартни процеси след екстракция.
File system monitoring: Наблюдение на критични директории като %TEMP%, %LOCALAPPDATA% и Startup за неочаквани .exe, .dll, .lnk или script файлове след разархивиране.
Access restrictions: Ограничаване на write permissions към критични системни директории където е възможно.
Detection indicators
Организациите трябва да наблюдават за следните индикатори за компрометация:
- Архивни файлове съдържащи file paths със suspicious traversal patterns като „../“ или encoded варианти
- Неочаквани файлове извън extraction директориите
- WinRAR.exe или UnRAR.exe spawning процеси като cmd.exe, powershell.exe след екстракция
- Sysmon Event ID 15 за ADS creation events
- Нови файлове в Startup папката непосредствено след RAR екстракция
- Unexpected network connections от новоразархивирани файлове
Дългосрочната перспектива
Историята на WinRAR уязвимостите илюстрира по-широк проблем в софтуерната индустрия. Legacy приложения с огромна потребителска база често стават мишени именно заради широкото си разпространение и бавната актуализация от страна на потребителите.
CVE-2023-38831 от 2023 година беше експлоатирана месеци преди да бъде публично разкрита. Същото се случи и с CVE-2025-8088, която RomCom групата използваше като zero-day още на 18 юли 2025, преди патчът да бъде издаден на 30 юли.
Това показва необходимостта от проактивен подход към сигурността – организациите не могат да разчитат само на патчове, след като уязвимостите бъдат разкрити. Необходими са многопластови защити, continuous monitoring и бърза реакция на новопоявяващи се заплахи.
Комодитизацията на експлойт разработката означава, че сложните атаки стават достъпни за все повече престъпници. Пазарът на dark web за уязвимости и експлойти процъфтява, с цени достигащи стотици хиляди долари за качествени zero-days.
WinRAR уязвимостите от типа path traversal представляват сериозна и продължаваща заплаха за организации и индивидуални потребители по целия свят. С над 500 милиона потребители и активна експлоатация от множество sophisticated threat actors, въздействието може да бъде катастрофално.
Актуализацията до WinRAR 7.13 или по-нова версия е критична за всички Windows потребители. Организациите трябва да приоритизират патч management и да внедрят comprehensive security controls за защита срещу тези атаки.
Случаят с WinRAR служи като напомняне, че в съвременния киберландшафт дори широко използвани и доверени приложения могат да бъдат експлоатирани. Успешната защита изисква комбинация от технически контроли, user awareness, continuous monitoring и бърза реакция на възникващи заплахи.
За IT администратори и security специалисти препоръчваме незабавен одит на всички системи за наличие на уязвими версии на WinRAR и спешна актуализация. В свят, където киберпрестъпниците са на крачка пред защитниците, проактивността и бдителността са единствената ефективна стратегия.
Windows 11 2026: Първият ъпдейт се оказа пълен хаос
