آسیب‌پذیری خطرناک WinRAR راه را برای نصب بدافزار باز می‌کند

پژوهشگران امنیتی شرکت ESET آسیب‌پذیری خطرناکی با شناسه CVE-2025-8088 را در نسخه ویندوز نرم‌افزار «وین‌رر» کشف کرده‌اند که پیش‌تر در حملات واقعی فیشینگ مورد سوءاستفاده قرار گرفته است.
 

WinRAR یک نرم‌افزار محبوب برای فشرده‌سازی و مدیریت فایل‌های فشرده است که توسط شرکت RARLAB توسعه داده شده است.
این نرم‌افزار از فرمت‌های مختلف فشرده‌سازی پشتیبانی می‌کند و ابزاری قدرتمند برای کاهش حجم فایل‌ها، سازماندهی آنها و محافظت از داده‌ها است.

به گزارش gsxr و به نقل از تک‌اسپات، این نقص که از نوع «عبور از مسیر» (Path Traversal) است، به مهاجمان اجازه می‌دهد فایل‌های مخرب را در مکان‌های غیرمجاز سیستم قربانی، از جمله پوشه‌های شروع خودکار ویندوز، قرار دهند.

در حالت عادی، وین‌رر باید فایل‌ها را فقط در مسیر انتخاب‌شده توسط کاربر استخراج کند، اما این آسیب‌پذیری می‌تواند نرم‌افزار را فریب دهد تا فایل‌ها را در پوشه‌های حساس سیستمی -مانند Startup- کپی کند. بدافزار ذخیره‌شده در این پوشه‌ها با هر بار راه‌اندازی مجدد سیستم، به‌طور خودکار اجرا می‌شود و کنترل مداوم دستگاه را در اختیار مهاجم قرار می‌دهد.

این مشکل فقط نسخه‌های ویندوز و ابزارهای مرتبط مانند RAR، UnRAR، کد منبع Portable UnRAR و فایل UnRAR.dll را تحت‌تأثیر قرار می‌دهد و نسخه‌های یونیکس یا اندروید در معرض خطر نیستند.

گروه هکری موسوم به «RomCom» که با نام‌های Storm-0978، Tropical Scorpius یا UNC2596 نیز شناخته می‌شود، از جمله مهاجمانی است که از این نقص در حملات هدفمند ایمیلی استفاده کرده است.
در این حملات، قربانیان ایمیل‌هایی حاوی فایل‌های RAR آلوده دریافت کرده‌اند و با باز کردن آنها در نسخه‌های قدیمی وین‌رر، بدافزار RomCom روی سیستم نصب شده است. این بدافزار توانایی سرقت اطلاعات حساس، نصب بدافزارهای تکمیلی و حفظ دسترسی طولانی‌مدت و مخفی به سیستم را دارد.
 

RomCom به عملیات‌های جاسوسی سایبری وابسته به روس‌زبان‌ها مرتبط است و سابقه استفاده از آسیب‌پذیری‌های ناشناخته برای حملات جاسوسی و باج‌افزاری را دارد. بدافزار این گروه معمولاً از ارتباطات رمزگذاری‌شده بهره می‌برد، در ابزارهای قانونی سیستم پنهان می‌شود و برای دور زدن سیستم‌های امنیتی طراحی شده است.

توسعه‌دهندگان وین‌رر در ۳۰ ژوئیه ۲۰۲۵ نسخه ۷٫۱۳ نهایی را منتشر کردند که با مسدود کردن امکان استخراج فایل‌ها به مسیرهای خارج از مقصد انتخابی کاربر، این مشکل را برطرف می‌کند و چند باگ جزئی دیگر را نیز رفع کرده است. با این حال، به‌روزرسانی وین‌رر خودکار نیست و کاربران باید آن را به‌صورت دستی از وب‌سایت رسمی دریافت و نصب کنند.

کارشناسان امنیتی هشدار می‌دهند با توجه به بیش از نیم میلیارد کاربر فعال وین‌رر، این نرم‌افزار هدفی ارزشمند برای مجرمان سایبری محسوب می‌شود. آنها بر اهمیت به‌روزرسانی منظم نرم‌افزار، احتیاط در باز کردن پیوست‌های ایمیل ناشناس، استفاده از آنتی‌ویروس‌های توانمند در شناسایی تهدیدات داخل فایل‌های فشرده، و بررسی دوره‌ای پوشه‌های Startup برای یافتن فایل‌های ناشناس تأکید دارند.