CVE-2025-8088: Критическая уязвимость WinRAR — Удаленное выполнение кода

CVE-2025-8088 — это уязвимость высокой степени серьезности, затрагивающая процесс распаковки файлов в WinRAR. Проблема возникает из-за некорректной обработки альтернативных потоков данных (Alternate Data Streams, ADS) файловой системы NTFS внутри ZIP-архивов. Этот недостаток позволяет злоумышленнику создать специальный архив. Когда пользователь его распаковывает, файлы извлекаются не в текущую папку, а в произвольные места системы — чаще всего в папку автозагрузки Windows. Это приводит к удаленному выполнению кода (RCE) при следующей перезагрузке системы.

Уязвимость эксплуатирует механизм работы WinRAR с альтернативными потоками данных NTFS. ADS — это функция Windows, позволяющая файлам содержать скрытые метаданные. Атакующие формируют архив, где имя файла содержит двоеточие (:) для обращения к ADS. Манипулируя этим, они обманывают WinRAR, заставляя его записать полезную нагрузку за пределы папки извлечения. Типичный сценарий — запись скрипта или EXE-файла в C:\Users\<User>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Поскольку файл скрыт или создан с обманным именем, пользователь не видит ничего подозрительного, но система уже скомпрометирована.

Оценка CVSS: 8.8 (Высокая) Уязвимость уже активно используется хакерскими группами, включая RomCom и различные APT-группировки. Последствия: • Удаленное выполнение кода: Полный контроль над машиной жертвы. • Закрепление в системе: Вредоносное ПО выживает после перезагрузки. • Кража данных: Получив доступ, атакующие могут похитить конфиденциальные документы и пароли.

Уязвимость затрагивает WinRAR: • Все версии до 7.13

Единственный надежный способ защиты — обновление ПО. Вариант 1: Обновление WinRAR (Обязательно) Скачайте и установите последнюю версию (7.13 или новее) с официального сайта rarlab.com. Патч улучшает проверку имен файлов и потоков NTFS при распаковке. Вариант 2: Минимизация рисков Если обновление невозможно прямо сейчас, не распаковывайте архивы из ненадежных источников. Администраторы безопасности могут настроить правила EDR для блокировки запуска файлов, созданных процессами архиваторов в системных директориях.

Если в вашей организации используются старые версии WinRAR, вы подвержены атакам нулевого дня. TEPTEZ может автоматически просканировать ваши рабочие станции для выявления уязвимого ПО, такого как CVE-2025-8088. Наша платформа предоставляет актуальные данные о защищенности периметра и инструкции по устранению угроз.