Un actor de amenaza que usa el Handle “ZeroPlayer” anunció una exploit previamente desconocida del código remoto (RCE) para Winrar en un foro subterráneo.
Según AgranedMon, el Post, titulado “Winrar RCE 0day-80,000 $”, afirma que la falla funciona “totalmente en la última versión de Winrar y debajo”, no está relacionada con el servicio CVE-2025-6218 recientemente parcheado, y está disponible exclusivamente a través del servicio de foro de foro (“Garant”) para USD 80,000.
Control de llave
1. El actor de amenaza “ZeroPlayer” está vendiendo una exploit de Winrar RCE en foros web oscuros por $ 80,000, distinto de CVE-2025-6218 y que afecta las últimas versiones.
2. La instalación de Winrar en cientos de millones de sistemas de Windows crea una vulnerabilidad generalizada a través de accesorios de archivo maliciosos.
3. Grupos APT y operadores de Crimeware podrían armarse la exploit para comprimir plazos de ataque de semanas a horas a través de campañas de correo electrónico.
4. Las organizaciones deben usar temporalmente alternativas de 7 ZIP, implementar la detonación de sandbox y permitir la reducción de la superficie de ataque mientras esperan el parche de Rarlab.
La divulgación subraya el atractivo duradero de Winrar, una utilidad instalada en cientos de millones de puntos finales de Windows, como un objetivo de alto valor para los criminales cibernéticos.
Exploit de día cero de Winrar a la venta
La exploit crítica de Winrar amenaza
Mientras que ZeroPlayer ha tenido detalles de prueba de concepto (POC), las cadenas de Winrar RCE anteriores proporcionan información sobre posibles rutas de explotación.
🚨 Exploit de día cero dirigido a Winrar ofrecido por $ 80,000 en Dark Web 🚨
Un actor de amenaza bajo el alias “Zeroplayer” ha venta una exploit de día cero de ejecución de código remoto (RCE) previamente desconocido que afecta las últimas y anteriores versiones de Winrar. El exploit es confirmado por el … pic.twitter.com/rqbol2mayi
– amenazmon (@monthreat) 13 de julio de 2025
Históricamente, los atacantes abusan de la lógica de análisis de formato de archivo de Winrar, especialmente dentro de unacev2.dll o los archivos .Rar / .zip, para activar la corrupción de la memoria. Un flujo de exploit típico implica:
Archivo Crafting: un atacante incrusta los encabezados malformados o los nombres de archivo excesivos (0x414141 …) para dañar la pila o el montón. Efección de carga útil: un pequeño stub de shellcode establece EIP en una dirección controlada, luego descarga una carga útil más grande. Escalación de privilegios / persistencia: los atacantes a menudo dejan caer binarios a %AppData %\\ Roaming \\ Microsoft \\ Windows \\ Menú de inicio \\ Programas \\ inicio \\ para Ejecutar automáticamente en el logón, o aprovechar las teclas de secuestro como HKCU \\ Software \\ Software \\ MScfile \\ Open \\ Open \\ Open \\ Open.
Si la exploit de ZeroPlayer omite las mitigaciones de DEP/ASLR actuales de Winrar, podría habilitar la ejecución de código confiable en los sistemas Windows 11 totalmente parcheados con configuraciones predeterminadas, un escenario de pesadilla para los defensores.
La ubicuidad de Winrar en empresas, combinada con el uso de correo electrónico de rutina de archivos adjuntos comprimidos, ofrece un canal de entrega casi sin fricción para los actores de amenazas.
En particular, grupos APT como Apt40 y Sandworm encadenaron fallas de análisis de Winrar previamente para implementar Darkme, Bitterrat e UAC-0050 durante las campañas de phishing de lanza. Por lo tanto, un día cero viable a un precio de $ 80 K presenta:
Los corredores de Crimeware-As-A-Service (CAAS) podrían armarse el error en señuelos de estilo Maldoc, similar a las campañas CVE-2019-0969. Los servidores de construcción de software que desempaquetan automáticamente los archivos de terceros son objetivos secundarios principales. Los corredores de acceso inicial pueden comprar el exploit, establecer puntos de apoyo y luego subastas el acceso a los afiliados de ransomware, comprimiendo el tiempo de permanencia de semanas a horas.
Los equipos de seguridad deben monitorear el comportamiento anómalo de extracción de archivo, implementar parches virtuales a través de firmas de prevención de intrusiones y prepararse para las actualizaciones de proveedores fuera del ciclo. Hasta que llegue una solución, la ciber-higiene en torno a los archivos no confiables sigue siendo primordial.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}