Компания WinRAR выпустила критическое обновление для устранения опасной уязвимости в своем популярном архиваторе, которая уже активно использовалась двумя разными группами киберпреступников в целевых атаках на организации в Европе, Канаде и России. Новая версия программы 7.13 стала доступна пользователям 30 июля 2025 года. Уязвимость, получившая идентификатор CVE-2025-8088, представляет собой критическую ошибку типа Path Traversal (или Directory Traversal) в версии WinRAR для операционной системы Windows.
Данный класс уязвимостей позволяет злоумышленникам выходить за пределы предполагаемой директории, куда пользователь намеревается распаковать содержимое архива. В конкретном случае CVE-2025-8088, создавая специальным образом сконструированный вредоносный архив, атакующие могли добиться выполнения произвольного кода на компьютере жертвы.
Аналитики безопасности зафиксировали две отдельные кампании, использовавшие эту брешь. Первая атака приписывается группе, ассоциируемой с российскими интересами и известной под названием RomCom. Эта группа использовала уязвимость WinRAR в период с 18 по 21 июля 2025 года. Целями стали компании из финансового сектора, оборонной промышленности, производства и логистики, расположенные в Европе и Канаде. Злоумышленники применяли тактику фишинга, маскируясь под соискателей вакансий. В электронных письмах они присылали потенциальным жертвам свои "резюме" в виде вредоносных архивов, эксплуатирующих CVE-2025-8088. В результате успешной атаки файлы злоумышленников помещались не в указанную пользователем папку, а в системные директории, такие как папки автозагрузки, что обеспечивало выполнение вредоносного кода при старте операционной системы.
Вторая кампания проводилась другой группой, идентифицированной как Paper Werewolf. Их активность была обнаружена исследователями в начале июля 2025 года. Paper Werewolf сфокусировались на организациях внутри России. Атакующие также использовали фишинг, но в этом случае они выдавали себя за сотрудников российского научно-исследовательского института. В письмах фигурировали вложения, замаскированные под официальные письма от имени одного из российских министерств. Эти вложения содержали вредоносные архивы, использующие ту же самую уязвимость WinRAR для проникновения в системы. Важно отметить, что во время атак Paper Werewolf уязвимость CVE-2025-8088 являлась zero-day, то есть о ней не было известно широкой публике и разработчику, и исправления еще не существовало.
Выпуск патча в версии WinRAR 7.13 и публикация деталей уязвимости означают, что информация о CVE-2025-8088 теперь доступна всем, включая злоумышленников. Эксперты в области кибербезопасности единодушно предупреждают, что существует высокая вероятность попыток массового оружия этой уязвимости другими киберпреступными группировками в ближайшем будущем. Ожидается, что вредоносные архивы, эксплуатирующие CVE-2025-8088, могут начать распространяться через различные каналы, включая сомнительные сайты для скачивания ПО, вложения в спам-рассылки и другие методы доставки.
В связи с критическим характером уязвимости и подтвержденными фактами ее эксплуатации в реальных атаках, настоятельно рекомендуется всем пользователям WinRAR на платформе Windows немедленно обновить программу до последней версии 7.13. Обновление можно получить через официальный сайт разработчика www.rarlab.com. Для проверки текущей установленной версии WinRAR пользователям следует запустить программу, перейти в меню "Справка" (Help) и выбрать пункт "О программе" (About WinRAR). В открывшемся окне будет отображена подробная информация, включая номер версии. Установка патча является единственным надежным способом защиты от атак, использующих данную уязвимость. Промедление с обновлением существенно повышает риски компрометации системы, особенно с учетом ожидаемого роста активности злоумышленников вокруг CVE-2025-8088.
