Ha surgido una variante recientemente observada de la vulnerabilidad del deslizamiento postal, lo que permite a los actores de amenaza a explotar fallas transversales de la ruta en utilidades de descompresión ampliamente utilizadas.
Expotes aprovechando este artesan de vulnerabilidad Archivos maliciosos que contienen nombres de archivos especialmente construidos con rutas relativas.
Cuando un usuario desprevenido o sistema automatizado extrae estos archivos, los archivos se escriben fuera del directorio de extracción previsto, sobrescribiendo potencialmente el sistema crítico o los binarios de aplicaciones.
Los primeros informes indican que los atacantes están armando esta técnica para implantar la parte trasera y aumentar los privilegios tanto en los objetivos de Windows como en los objetivos UNIX.
A diferencia de los archivos tradicionales que restringen las ubicaciones de los archivos a una subcarpeta, los archivos zip maliciosos contienen entradas.
Tras la descompresión, estas entradas evitan la desinfección de ruta inadecuada y depositan las cargas útiles directamente en los directorios del sistema.
Los incidentes iniciales se detectaron en pruebas de penetración interna, pero las campañas más sofisticadas recientemente atribuidas al grupo RomCom Apt han demostrado la explotación de incendios vivos en entornos empresariales.
Analistas de ASEC identificado que la variante aprovecha el indicador de bits de propósito general en el encabezado ZIP para codificar los separadores de ruta que evaden la detección de escáneres basados en la firma.
En un caso, un archivo adjunto de correo electrónico comprometido entregó un archivo zip que, cuando se abre con una herramienta de descompresión obsoleta, sobrescribía silenciosamente un script de inicio legítimo.
El examen de la estructura del archivo revela que el campo del nombre de archivo que comienza en el desplazamiento 0x1e contiene segmentos de ruta separados por recortes con por ciento codificados, que se decodifican solo durante la creación de archivos.
Archivo ZIP que contiene la ruta al archivo descomprimido (fuente – ASEC)
La ingeniería inversa posterior descubrió que el archivo malicioso aprovechó el módulo ZipFile de Python para insertar rutas relativas directamente en el campo del nombre de archivo.
Las principales vulnerabilidades explotadas por esta técnica incluyen:-
CVE-2025-8088: afecta a Winrar antes de la versión 7.13 y permite el omitido de la validación de la ruta a través del transbordador de transmisión de datos alternativo. CVE-2025-6218: una falla de ejecución de código remoto en las versiones de Winrar antes de 7.12 que evita los filtros de ruta relativa cuando se usan espacios. CVE-2022-30333: se dirige a Rarlab Unrar antes de 6.12 para sobrescribir SSH Authorized_Keys a través de “../../example” rutas. CVE-2018-20250: esto abusa de la extracción de formato ACE en Winrar Pre-5.61 pasando por alto la lógica de filtrado unacev2.dll.
Además de sobrescribir archivos simples, esta variante admite la incrustación de scripts ejecutables y DLL diseñados para mantener la persistencia.
Al escribir cargas útiles en carpetas de inicio o directorios de servicios Systemd, los atacantes aseguran la ejecución al reiniciar. La detección se complica por el hecho de que muchas utilidades de descompresión no normalizan ni validan las rutas canónicas antes de escribir.
Se recomienda a los equipos de seguridad cibernética que empleen bibliotecas de descompresión con verificaciones de transferencia de ruta incorporadas, extracción de impulsos dentro de entornos de sandboxed y actualizar herramientas a versiones parchadas lanzadas después de agosto de 2025 que incluyen estrictas rutinas de validación de directorio.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
