Tổng quan về lỗ hổng WinRAR mới được phát hiện
Gần đây, nhóm nghiên cứu ESET đã phát hiện một lỗ hổng zero-day nguy hiểm trong phần mềm nén và giải nén WinRAR (CVE-2025-8088) đang bị khai thác thực tế bởi nhóm RomCom – một nhóm hacker có liên hệ Nga chuyên về các chiến dịch tấn công nhắm vào mục tiêu giá trị cao. Lỗ hổng này cho phép attacker ẩn file độc hại trong archive và bí mật triển khai khi nạn nhân giải nén – chủ yếu thông qua kỹ thuật path traversal kết hợp alternate data streams (ADS) để ghi file ra các thư mục hệ thống nhạy cảm.[1][2][3]
Phân tích kỹ thuật về lỗ hổng CVE-2025-8088
- Lỗ hổng CVE-2025-8088 cho phép những file độc hại được nhúng vào archive WinRAR và giải nén ra ngoài thư mục chỉ định – điển hình là Windows Startup, TEMP, hoặc bất kỳ thư mục hệ thống nào.[2][4][1]
- Kẻ tấn công ngụy trang lưu trữ như hồ sơ xin việc hợp lệ, tận dụng ADS để ẩn mallware (DLL, shortcut…) vốn không hiện trong giao diện người dùng WinRAR nếu không kiểm tra kỹ.
- Khi giải nén hoặc mở file từ archive, các file này sẽ được quăng ra đúng vị trí mật phục, có thể thực thi, thiết lập persistency trên máy nạn nhân mà họ không hay biết.
- WinRAR 7.13 (ra mắt ngày 30/7/2025) đã vá lỗ hổng này.
Luồng tấn công điển hình qua WinRAR zero-day
- Phishing mail: Attacker gửi email với file RAR ngụy trang dưới dạng tài liệu CV, hồ sơ ứng tuyển…[3][5][1]
- Khi nạn nhân mở file, WinRAR giải nén các file độc hại vào hệ thống.
- File shortcut (LNK) được đặt trong thư mục Startup, DLL độc hại trong TEMP – chúng thực thi backdoor, kết nối C2 server và kiểm soát máy tính mỗi lần đăng nhập.
- Backdoor trong các cuộc tấn công này có các dạng: Mythic agent (COM hijacking), SnipBot variant, RustyClaw downloader, MeltingClaw… mỗi loại có kỹ thuật lẩn tránh, tránh bị phát hiện khi phân tích mẫu.[4][3]
Đối tượng và hậu quả
- Chiến dịch spear-phishing này tập trung nhắm vào các công ty tài chính, quốc phòng, sản xuất, hậu cần tại Châu Âu và Canada.
- Mục tiêu chính là gián điệp mạng, thu thông tin, cài backdoor, lấy quyền truy cập lâu dài.[6][2][3]
- Theo ESET, chưa ghi nhận trường hợp tổ chức bị compromise thành công ngay trong đợt này, nhưng do tốc độ vá lỗ hổng nhanh, nguy cơ vẫn còn lớn với hệ thống chưa cập nhật.
Lịch sử khai thác zero-day của RomCom
- RomCom từng khai thác zero-day trong Microsoft Word (CVE-2023-36884), Firefox (CVE-2024-9680, CVE-2024-49039), v.v. Chính nhờ khả năng tận dụng lỗ hổng chưa công bố mà nhóm này được đánh giá rất nguy hiểm đối với các tổ chức lớn.
Bảng so sánh lỗ hổng WinRAR gần đây (HTML trong Markdown)
CVE
Đặc điểm
Loại khai thác
Phiên bản bị ảnh hưởng
Đã vá?
CVE-2025-8088
Path traversal qua alternate data streams, cho phép triển khai file ngoài thư mục chỉ định
Đặt file độc hại vào Startup, TEMP…Thực thi mã từ xa
WinRAR ≤ 7.12, UnRAR.dll, RAR CLI, UnRAR source code
WinRAR 7.13 đã vá
CVE-2025-6218
Directory traversal qua RAR archiveĐặt file vào thư mục hệ thống
Thực thi mã từ xa
WinRAR ≤ 7.12
Đã vá (tháng 6/2025)
Khuyến nghị bảo mật
- Cập nhật WinRAR và UnRAR lên phiên bản mới nhất ngay lập tức.
- Lên lịch audit lại toàn bộ hệ thống, nhất là các máy dùng WinRAR cho automation hoặc batch xử lý file.
- Kiểm tra và xóa các file lạ trong Windows Startup, TEMP…
- Xem xét hạn chế dùng các tool archive cho tác vụ bảo mật, cân nhắc sandbox hoặc kiểm tra authenticity file nén.
Đánh giá tổng quan
Lỗ hổng zero-day trong WinRAR CVE-2025-8088, cùng với chiến dịch khai thác tinh vi của RomCom, là lời cảnh báo về việc duy trì cập nhật phần mềm và nâng cao nhận thức phishing. Các công cụ archive mạnh mẽ cần có sự đánh giá lại về quy trình cập nhật cũng như sử dụng ở môi trường sản xuất – nhất là với các tổ chức trọng yếu về tài chính, quốc phòng, công nghiệp. Việc Vá lỗi nhanh của WinRAR là rất kịp thời, nhưng các hệ thống chậm cập nhật vẫn dễ trở thành mục tiêu.
Source link: update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability
