La vulnerabilità WinRAR CVE-2025-8088 rimane una minaccia critica: ecco cosa devi sapere

La vulnerabilità WinRAR CVE-2025-8088 rimane una minaccia critica: ecco cosa devi sapere

Introduzione per utenti comuni

Se usi WinRAR per estrarre file compressi, devi sapere che una vulnerabilità critica scoperta a luglio 2025 continua a essere sfruttata attivamente dai cybercriminali. Nonostante sia stata corretta da oltre sei mesi, molti utenti non hanno ancora installato l’aggiornamento necessario. La buona notizia è semplice: scarica e installa WinRAR versione 7.13 o successiva immediatamente. Questa è l’unica azione che ti proteggerà dalla minaccia.

Cosa è successo e perché è importante

Nel luglio 2025, i ricercatori di sicurezza hanno scoperto una grave falla nel software WinRAR, uno dei programmi di compressione file più diffusi al mondo, utilizzato da centinaia di milioni di persone. Questa vulnerabilità, identificata come CVE-2025-8088, consente ai criminali informatici di inserire codice malevolo all’interno di file RAR apparentemente innocui.

Quando un utente estrae uno di questi archivi, il malware viene automaticamente collocato in aree critiche del computer e si attiva al prossimo accesso. Questo significa che il danno avviene senza alcuna azione aggiuntiva da parte della vittima—basta estrarre il file.

Come funziona l’attacco

Gli attaccanti sfruttano una tecnica chiamata path traversal, che consente loro di bypassare i controlli di sicurezza di WinRAR. In pratica, invece di estrarre i file nella cartella scelta dall’utente, i malintenzionati riescono a dirigerli verso directory di sistema sensibili, come le cartelle di avvio automatico di Windows.

La sofisticazione dell’attacco risiede nell’uso dei flussi di dati alternativi NTFS (ADS). I criminali nascondono il payload malevolo in un flusso dati nascosto all’interno di un file apparentemente innocuo, come un documento PDF. Quando l’utente vede il PDF legittimo nell’archivio, non sospetta nulla. Tuttavia, il codice malevolo nascosto viene estratto silenziosamente in una cartella di avvio e si esegue automaticamente al prossimo login.

Chi sta sfruttando questa vulnerabilità

Da quando la vulnerabilità è stata scoperta, numerosi gruppi di attaccanti hanno iniziato a sfruttarla:

  • RomCom (Storm-0978): Uno dei primi gruppi a utilizzare questa falla per distribuire backdoor malevoli tramite email di phishing.
  • Paper Werewolf (GOFFEE): Ha combinato CVE-2025-8088 con un’altra vulnerabilità di WinRAR per campagne di phishing mirate.
  • APT sponsorizzati dallo stato: Gruppi russi come Sandworm, Trula e TEMP.Armageddon hanno sfruttato la vulnerabilità per spionaggio informatico contro obiettivi ucraini.
  • Attori cinesi: Un gruppo non identificato ha utilizzato la falla per distribuire il trojan POISONIVY.
  • Criminali finanziari: Gruppi motivati dal lucro hanno preso di mira entità in Indonesia, settori alberghiero e di viaggio in America Latina, e utenti di banche brasiliane.

Il ruolo dei fornitori di exploit

Una scoperta importante è che molti di questi attacchi provengono da un unico fornitore di exploit chiamato “zeroplayer”, che vende codice di exploit nei forum del dark web. Questo ha democratizzato l’accesso alla vulnerabilità, permettendo a gruppi con diverse motivazioni—dal ransomware allo spionaggio di stato—di lanciare attacchi sofisticati senza sviluppare autonomamente le competenze tecniche necessarie.

Quali malware vengono distribuiti

Gli archivi RAR compromessi trasportano una varietà di minacce:

  • Estensioni di Chrome malevole che rubbano credenziali e dati personali
  • Backdoor che concedono accesso remoto completo al computer
  • RAT (Remote Access Trojan) che permettono agli attaccanti di controllare il dispositivo
  • Malware per il furto di informazioni sensibili

Come proteggerti

La soluzione è diretta:

  1. Scarica WinRAR versione 7.13 o successiva dal sito ufficiale di WinRAR
  2. Disinstalla la versione precedente dal tuo computer
  3. Installa la nuova versione sopra l’installazione esistente

È importante notare che WinRAR non ha una funzione di aggiornamento automatico, quindi devi scaricare e installare manualmente la nuova versione. La versione 7.13 corregge sia CVE-2025-8088 che un’altra vulnerabilità correlata (CVE-2025-6218).

Misure di precauzione aggiuntive

Oltre all’aggiornamento, considera questi comportamenti prudenti:

  • Sii cauto con gli allegati email: Non estrarre archivi RAR da mittenti sconosciuti o non verificati
  • Verifica le fonti: Scarica file compressi solo da fonti affidabili
  • Usa software di sicurezza: Mantieni aggiornato un antivirus affidabile
  • Monitora l’attività del sistema: Presta attenzione a processi insoliti dopo l’estrazione di file

Technical Deep Dive

Per i professionisti della sicurezza informatica, ecco i dettagli tecnici della vulnerabilità CVE-2025-8088:

Caratteristiche della vulnerabilità

CVE-2025-8088 è classificata con un punteggio CVSS di 8.4-8.8, indicando una gravità critica. La vulnerabilità interessa WinRAR versione 7.12 e precedenti, nonché i componenti correlati come UnRAR.dll e il codice sorgente portabile UnRAR. È importante notare che la vulnerabilità riguarda solo le versioni Windows di WinRAR.

Meccanismo di sfruttamento

La vulnerabilità sfrutta una debolezza nel modo in cui WinRAR valida i percorsi durante l’estrazione. Gli attaccanti possono creare archivi RAR con nomi di file appositamente costruiti che includono sequenze di path traversal (come ../ o sequenze NTFS ADS). Quando WinRAR estrae questi file, non convalida adeguatamente il percorso di destinazione, permettendo ai file di essere scritti al di fuori della directory di estrazione prevista.

Un aspetto particolarmente sofisticato è l’uso dei flussi di dati alternativi NTFS (ADS). Utilizzando la sintassi filename.txt:stream, gli attaccanti possono allegare dati nascosti ai file. Ad esempio, un archivio può contenere un PDF legittimo visibile all’utente, ma con un flusso di dati ADS nascosto contenente un file .lnk malevolo.

Catena di exploit

La catena di exploit tipica funziona come segue:

  1. L’attaccante crea un archivio RAR con un file decoy (ad esempio, un PDF) e un flusso di dati ADS nascosto contenente un link malevolo
  2. L’archivio viene inviato alla vittima tramite phishing o altri vettori
  3. Quando la vittima estrae l’archivio, il file decoy viene visualizzato normalmente
  4. Il file .lnk nascosto nel flusso ADS viene estratto in una cartella di avvio automatico, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp
  5. Al prossimo login dell’utente, il link malevolo si esegue automaticamente, lanciando il payload (backdoor, RAT, malware per il furto di informazioni, ecc.)

Indicatori di compromissione (IOC)

I team di sicurezza dovrebbero monitorare:

  • File .lnk in cartelle di avvio automatico con timestamp recenti
  • Processi insoliti lanciati da cartelle di avvio
  • Archivi RAR con nomi di file contenenti sequenze di path traversal
  • Attività di rete anomala da processi lanciati da cartelle di avvio

Correlazione con altre vulnerabilità

CVE-2025-8088 è spesso sfruttata in combinazione con CVE-2025-6218, un’altra vulnerabilità di path traversal in WinRAR che utilizza il tradizionale attraversamento di directory (senza ADS). Entrambe le vulnerabilità sono corrette nella versione 7.13.

Raccomandazioni per i team di sicurezza

  • Scansione della rete: Utilizzare strumenti di scansione di vulnerabilità per identificare tutte le istanze di WinRAR versioni 7.12 e precedenti nella rete aziendale
  • Distribuzione della patch: Implementare un processo di distribuzione della patch per WinRAR 7.13 su tutti i sistemi interessati
  • Threat hunting: Cercare archivi RAR sospetti nelle cartelle di download, allegati email e cartelle condivise
  • Monitoraggio comportamentale: Implementare controlli per rilevare l’esecuzione di file da cartelle di avvio automatico
  • Educazione degli utenti: Sensibilizzare gli utenti sui rischi di estrarre archivi da fonti non verificate

Timeline della vulnerabilità

  • 18 luglio 2025: Scoperta della vulnerabilità da parte dei ricercatori di ESET
  • 30 luglio 2025: Rilascio di WinRAR 7.13 con patch
  • Luglio-agosto 2025: Primi exploit attivi da parte di RomCom e Paper Werewolf
  • Presente: Continuo sfruttamento da parte di molteplici gruppi di attaccanti

Fonte: https://www.helpnetsecurity.com/2026/01/28/winrar-vulnerability-exploited-cve-2025-8088/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto