Una vulnerabilidad de día cero en Winrar permite que el malware se despliegue en sistemas de usuarios desprevenidos, destacando las amenazas continuas para el software popular.
Seguimiento como CVE-2025-8088, esta defecto de transversal de ruta afecta la versión de Windows de la herramienta de archivo de archivos ampliamente utilizada, lo que permite a los atacantes ejecutar código arbitrario a través de archivos especialmente diseñados. La vulnerabilidad, descubierta a mediados de julio de 2025, subraya los riesgos de parches retrasados en una era de sofisticadas campañas de phishing.
El problema proviene del manejo inadecuado de rutas de archivos durante la extracción, lo que permite a los archivos maliciosos colocar archivos en ubicaciones no autorizadas, como las carpetas de inicio de Windows.
Al aprovechar los flujos de datos alternativos (AD), los atacantes pueden ocultar cargas útiles dañinas dentro de archivos RAR aparentemente benignos, que se implementan silenciosamente tras la extracción.
Esta técnica omite las rutas especificadas por el usuario, lo que puede conducir a la ejecución de código remoto en el siguiente inicio de sesión. Las versiones UNIX de RAR y herramientas relacionadas no se ven afectadas, pero los usuarios de Windows de las versiones de Winrar antes de 7.13 tienen un alto riesgo.
La explotación se ha relacionado con al menos dos grupos de amenazas. El comedero romántico alineado en Rusia (también conocido como Storm-0978) inició ataques del 18 al 21 de julio de 2025, dirigidos a sectores financiero, de fabricación, defensa y logística en Europa y Canadá.
Haciéndose pasar por los solicitantes de empleo, distribuyeron correos electrónicos de phishing con archivos adjuntos de rar maliciosos disfrazados de currículums, desplegando puertas traseras como Snipbot, Rustyclaw y agentes míticos para la persistencia y la exfiltración de datos.
Mientras tanto, el grupo de hombres lobo en papel (también conocido como Goffee) explotó el defecto contra las organizaciones rusas, imitando las comunicaciones oficiales de un instituto de investigación. La evidencia sugiere que la exploit puede haberse vendido en un foro web oscuro por $ 80,000 a fines de junio de 2025, explicando su rápida adopción por parte de múltiples actores.
Ruta de día cero de Winrar transversal explotada
Los investigadores de ESET vieron por primera vez el día cero el 18 de julio de 2025, durante el análisis de una DLL sospechosa en un archivo RAR. Notificaron a los desarrolladores de Winrar el 24 de julio, lo que provocó una solución rápida en la versión 7.13, lanzada el 30 de julio de 2025
El parche aborda el mecanismo transversal de la ruta, evitando las rutas de extracción manipuladas. Esto marca la tercera exploit de día cero de Romcom en los últimos años, luego de abusos de CVE-2023-36884 y CVE-2024-49039.
Se insta a los usuarios a actualizar de inmediato, ya que Winrar carece de una verificación de actualización automática para versiones a través de Ayuda> sobre Winrar y descarga de fuentes oficiales.
Las organizaciones deben buscar indicadores de compromiso, como archivos inesperados en % TEMP % o directorios de inicio, y mejorar el filtrado de correo electrónico para bloquear los archivos adjuntos RAR.
Este incidente destaca los peligros de los archivos comprimidos en las comunicaciones comerciales, con los puntajes CVSS calificando el defecto en 8.8 por su alto impacto.
Un video de demostración que circula en línea ilustra la mecánica de la exploit, aunque los expertos advierten contra fuentes no verificadas.
A partir del 15 de agosto de 2025, no se han informado ataques generalizados más allá del phishing dirigido, pero la divulgación pública de la vulnerabilidad podría inspirar campañas de imitación. La vigilancia y el parche rápido siguen siendo defensas clave contra tales amenazas en evolución.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
