Критические уязвимости в WinRAR позволяют злоумышленникам получать удаленный доступ к системам

Проблема затрагивает миллионы пользователей по всему миру, поскольку WinRAR долгие годы остается одним из наиболее распространенных инструментов для работы с архивами. Уязвимости позволяют обойти базовые механизмы безопасности при распаковке архивов, что приводит к возможности удаленного выполнения кода и сохранения persistence (устойчивого доступа) в корпоративных сетях.

CVE-2025-6218 представляет собой классическую уязвимость обхода каталогов (Directory Traversal). Её суть заключается в том, что WinRAR неправильно обрабатывает относительные пути, содержащие последовательности вроде «..\» или «../». Это позволяет злоумышленнику создать архив, файлы которого при распаковке попадут не в выбранную пользователем папку, а в произвольное место на диске - например, в автозагрузку Windows.

Более сложная и опасная уязвимость CVE-2025-8088 расширяет возможности атаки за счет использования альтернативных потоков данных NTFS (Alternate Data Streams, ADS). NTFS, файловая система Windows, позволяет хранить несколько потоков данных в одном файле, причем большинство стандартных инструментов отображают только основной поток. Злоумышленники могут использовать синтаксис «имя_файла:поток» для скрытия вредоносного кода в альтернативных потоках, что значительно затрудняет обнаружение.

Технические детали показывают, что уязвимости существуют в функциях RARReadHeader и RARProcessFile, которые не выполняют нормализацию и проверку путей. Это означает, что при обработке архивов WinRAR не проверяет, выходят ли пути файлов за пределы целевого каталога распаковки. В результате злоумышленник может указать путь вида «..\..\..\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malware.exe», и файл будет размещен именно там, где это необходимо для автоматического запуска.

Особенность атак с использованием этих уязвимостей заключается в минимальном взаимодействии с жертвой. Пользователю достаточно просто распаковать полученный архив - никаких дополнительных действий не требуется. Это делает атаку чрезвычайно эффективной в рамках фишинговых кампаний, когда злоумышленники рассылают поддельные документы или программное обеспечение.

По данным исследователей, группа RomCom использовала CVE-2025-8088 в качестве zero-day уязвимости с середины июля 2025 года, нацеливаясь на организации через spear-phishing (целевую фишинговую рассылку). Другая группа, известная как Paper Werewolf (также называемая GOFFEE), применяла аналогичные методы атак против российских целей.

Эксперты предупреждают, что простота эксплуатации этих уязвимостей likely приведет к волне подражательных атак. Злоумышленникам не требуется глубоких технических знаний для создания вредоносных архивов, что значительно снижает порог входа в киберпреступную деятельность.

Производитель WinRAR уже выпустил обновления, устраняющие обе уязвимости. CVE-2025-6218 была исправлена в версии 7.12 Beta 1, а CVE-2025-8088 - в версии 7.13. Пользователям настоятельно рекомендуется обновить программное обеспечение до последней версии и проявлять осторожность при работе с архивами из непроверенных источников.

Корпоративным клиентам рекомендуется не только обеспечить обновление WinRAR, но и усилить мониторинг активности в автозагрузочных папках, а также применять решения для обнаружения аномальной файловой активности, особенно связанной с альтернативными потоками NTFS.

Данный инцидент в очередной раз демонстрирует, что даже проверенное временем программное обеспечение может содержать критические уязвимости, а киберпреступники постоянно совершенствуют методы их эксплуатации.

SHA256

• 18c26d2570dd3d5821ebdad58dc4b0165dfdbdf940b88f99bef2b9ca0f4bbfde
• 1f623f15d042a50171d17702a3042ec24f8b796e462922247577002408e462f9
• 27f390789c63d536ac4d3c9df03f13b0330237a6cf529065ffc22f48b6f49d1e
• 3c2b343ee21496e473681fd084a2d7e90b9defc24e9ee531b0341c4cc57725c9
• 3c919b0d7b1674b3beb2c5435e74b1d83df5c6aad9a46a01a7fe4e00c91fa09f
• 3f287df4e7cda772b66a905547646a18f66079b97436d80ae3c7030d6b58a67d
• 49023b86fde4430faf22b9c39e921541e20224c47fa46ff473f880d5ae5bc1f1
• 4c4ecd3e2c433f3ae5ec76b058eb0da3f93d18254f1d862237c49d0ec7390f3f
• 4da20b8b16f006a6a745032165be68c42efef9709c8e133e39d4b6951cca5179
• 6e25b4449e58181acc3f156862046620a78891f1a466fecfae76560ba7593fcb
• 778a652afb3d726de3c34d32b5552f059095add95da73e6c84d097f3e99b6ab2
• 77fa4fa4c06a602145f9a8fca966d1f578732446b62b76f5a202d5989e26c72e
• 7df9e2aa1b42b890e58851e33455a860c409ec13588080de00f012ab5e8b294a
• 8082956ace8b016ae8ce16e4a777fe347c7f80f8a576a6f935f9d636a30204e7
• 99baabc39ca4c0fe62526fd2d7c85792ac1cc57e6659f148553c3ac6c01d8bc6
• 9b4e8bba07c6bd48715365a121d996a641f3f35cb1065c701bf3658a67448a04
• a25d011e2d8e9288de74d78aba4c9412a0ad8b321253ef1122451d2a3d176efa
• a36ebeba6bfb38afe3d27cd7ba716ab48c1288f1a1816be4c44cdff1fc0971a0
• ae07af28fd99128b84698888481b95e585a005cec40b89e50f7d64ce540ea9d4
• bd4ae0b1fc4db0229f20e63d5382bab5682704437f7ac69819ed192667e74003
• cc71830a896813931346a7a1e7767a1cddfa474944f6f5f70047f1d278a1fd0b
• d216baa6e7c9aefa9e76a7f63ae1bec23cde817effe9b2043c2a23efbcba579d
• d26d51e98bf8eefd418169436d6b6b8f56e68cfae08ae8888f8b74625618dca8
• d4561a0ea886535ab852e017787230a0eddef76c425ac15de13bb94677d88443
• e737b8e52c1c712ec37c1c7df4d9626b1ffe93ff870acf592c32dd2ebb3f67d9
• ea796717e3a7750e065bed65d071ac2a0c042499cb37f5122bf56a764e704cc8
• f1745e52b4d71e7f23411f52402f19c3d43c3e6c55c27460d4e6f2a6c018b069
• f8f8229444bbce48a0353567e2adb5a84ef67827fb0a3595456712e7f6e3d839
• fc325339aeef9ed3edfb2728dcd84748d7a98a1ccc01fe7fff0ed7bf9b494453