Falha Zero-Day no WinRAR sob exploração ativa

Os mantenedores do popular utilitário de arquivamento WinRAR lançaram uma atualização de emergência para corrigir uma vulnerabilidade de dia zero (zero-day) que está sendo ativamente explorada por hackers em ataques reais.

A falha, rastreada como CVE-2025-8088 e com uma pontuação de gravidade de 8.8 (CVSS), é um caso de "travessia de diretório" (path traversal) que afeta a versão para Windows da ferramenta. Se explorada, ela pode levar à execução de código arbitrário através da criação de arquivos de arquivamento maliciosos.

"Ao extrair um arquivo, versões anteriores do WinRAR (...) podem ser enganadas para usar um caminho definido em um arquivo especialmente criado, em vez do caminho especificado pelo usuário", informou o WinRAR em seu comunicado oficial.

O crédito pela descoberta e denúncia da falha de segurança foi dado a Anton Cherepanov, Peter Kosinar e Peter Strycek, da empresa de segurança ESET. A correção foi disponibilizada na versão WinRAR 7.13, lançada em 31 de julho de 2025.

Embora não se saiba exatamente quem está por trás de todos os ataques, a empresa russa de cibersegurança BI.ZONE publicou um relatório na semana passada indicando que o grupo hacker rastreado como Paper Werewolf (também conhecido como GOFFEE) pode ter utilizado a falha CVE-2025-8088.

Acredita-se que o grupo tenha combinado este exploit com outra vulnerabilidade recente, a CVE-2025-6218, um bug semelhante de travessia de diretório corrigido em junho de 2025. A situação é ainda mais grave, pois antes dos ataques, um hacker identificado como "zeroplayer" foi visto anunciando a venda de um suposto exploit zero-day para o WinRAR no fórum da dark web de língua russa Exploit.in pelo preço de US$ 80.000. Suspeita-se que o grupo Paper Werewolf tenha adquirido e usado essa mesma ferramenta em seus ataques.

Os ataques investigados pela BI.ZONE visaram organizações russas em julho de 2025 através de e-mails de phishing contendo arquivos-armadilha. Ao serem abertos, esses arquivos exploravam as vulnerabilidades para escrever arquivos maliciosos fora do diretório pretendido (por exemplo, na pasta de inicialização do Windows), levando à execução de código na próxima vez que o sistema fosse ligado. Enquanto isso, um documento de isca era apresentado à vítima para distraí-la.

"A vulnerabilidade está relacionada ao fato de que, ao criar um arquivo RAR, você pode incluir um arquivo com fluxos de dados alternativos, cujos nomes contêm caminhos relativos", explicou a BI.ZONE. "Esses fluxos podem conter um payload arbitrário. Ao descompactar tal arquivo, os dados dos fluxos alternativos são escritos em diretórios arbitrários no disco".

Um dos payloads maliciosos implantados é um loader .NET projetado para enviar informações do sistema da vítima para um servidor externo e receber malware adicional. "O Paper Werewolf usa o loader C# para obter o nome do computador da vítima e enviá-lo em um link gerado para o servidor para obter o payload", acrescentou a empresa. A comunicação com o servidor de controle é feita através de um reverse shell.

A vulnerabilidade afeta todas as versões do WinRAR até a 7.12. A partir da versão 7.13, a falha foi corrigida. A recomendação é clara e urgente: todos os usuários devem atualizar para a versão mais recente imediatamente.

A divulgação ocorre no mesmo momento em que o 7-Zip, outro popular compactador de arquivos, lançou patches para uma falha de segurança (CVE-2025-55188). Este bug poderia ser abusado para a escrita arbitrária de arquivos devido à maneira como a ferramenta lida com links simbólicos durante a extração, o que também pode resultar em execução de código.

Em um cenário de ataque, um invasor poderia usar a falha para adulterar arquivos sensíveis, como sobrescrever as chaves SSH de um usuário ou o arquivo .bashrc em sistemas Unix. A questão foi resolvida na versão 25.01 do 7-Zip.

Via - THN