Se ha identificado una vulnerabilidad crítica de día cero en Winrar que los cibercriminales están explotando activamente a través de campañas de phishing sofisticadas para distribuir el malware RomCom.
El defecto, designado como CVE-2025-8088, representa una amenaza de seguridad significativa con una puntuación CVSS V3.1 de 8.4, lo que permite a los atacantes ejecutar código arbitrario en los sistemas de las víctimas a través de archivos de archivo maliciosos.
Control de llave
1. La vulnerabilidad de Winrar permite a los atacantes plantar malware a través de archivos maliciosos.
2. Los delincuentes explotan esto a través de Phishing para implementar malware rom.
3. Actualización a Winrar 7.13 de inmediato.
Path Traversal Flaw explotado en salvaje
La vulnerabilidad se deriva de una debilidad transversal de directorio que afecta las versiones de Winrar de Windows, incluidos RAR, UNRAR, código fuente de UNRAR portátil y componentes unrar.dll.
Cuando los usuarios extraen archivos de archivos especialmente elaborados, la carga útil maliciosa puede manipular el proceso de extracción para colocar archivos en ubicaciones del sistema no deseadas, sin pasar por alto las rutas de destino especificadas por el usuario.
Los investigadores de seguridad de ESET, Anton Cherepanov, Peter Košinár y Peter Strýček descubrieron este defecto crítico y confirmaron su explotación activa en los ataques del mundo real.
La vulnerabilidad permite a los actores de amenaza implementar un ataque transversal de ruta, donde los archivos maliciosos contienen rutas de archivo integradas que anulan destinos de extracción legítimos.
Esta técnica permite a los atacantes colocar archivos ejecutables en directorios de sistemas confidenciales, lo que puede lograr la escalada de privilegios y los mecanismos de persistencia en los sistemas comprometidos.
La metodología de explotación implica elaborar archivos con estructuras de directorio manipuladas que exploten el bypass de validación de la ruta del archivo.
Cuando las víctimas extraen estos archivos utilizando versiones vulnerables de Winrar, el malware se ejecuta automáticamente sin requerir interacción adicional del usuario, lo que lo hace particularmente peligroso para los usuarios desprevenidos.
Los ciberdelincuentes han armado esta vulnerabilidad del día cero específicamente para distribuir malware RomCom a través de campañas de phishing específicas.
La cadena de ataque generalmente comienza con tácticas de ingeniería social, donde las víctimas reciben archivos comprimidos aparentemente legítimos a través de archivos adjuntos de correo electrónico o enlaces de descarga maliciosos.
Estos archivos contienen la carga útil RomCom disfrazada de documentos legítimos o instaladores de software.
La campaña de malware Romcom demuestra tácticas sofisticadas de estilo APT, utilizando la vulnerabilidad de Winrar como un vector de acceso inicial.
Una vez implementado con éxito, el malware establece las comunicaciones de comando y control, lo que permite a los actores de amenaza realizar actividades de reconocimiento, movimiento lateral y exfiltración de datos dentro de las redes comprometidas.
Los analistas de seguridad señalan que este vector de ataque es particularmente efectivo porque los archivos comprimidos se comparten comúnmente en entornos empresariales, lo que hace que la detección sea un desafío para las soluciones de seguridad tradicionales que pueden no inspeccionar a fondo los contenidos de archivo antes de la extracción.
Factores de riesgo Details Afectives- Versiones de Windows de las versiones de Winrar-Windows de las versiones de RAR-Windows del código fuente de Unrar irreligioso- unrar.dllimpacTarbitrary Code ExecutionExploit Prerrequisitos: el usuario debe extraer un archivo malicioso especialmente elaborado- Ingeniería social (Phishing Correoss/descargas maliciosas)- No se requiere interacción del usuario adicional después de extracciones.
Mitigaciones
Los desarrolladores de Winrar tienen dirigido Esta vulnerabilidad crítica en la versión 7.13, lanzada el 30 de julio de 2025.
El parche de seguridad fija específicamente el defecto de transversal del directorio que difiere de la vulnerabilidad anterior abordada en Winrar 7.12.
Es importante destacar que las versiones UNIX de RAR, UNRAR, código fuente de UNRAR portátil, Biblioteca UNRAR y RAR para Android no se ven afectados por esta vulnerabilidad específica de Windows.
Las organizaciones y los usuarios individuales deben actualizar inmediatamente a las versiones de Winrar 7.13 o posteriores para mitigar los riesgos de explotación.
Las medidas de protección adicionales recomendadas incluyen escanear archivos comprimidos con soluciones actualizadas de detección de punto final antes de la extracción y restringir los privilegios de manejo de archivos en entornos empresariales para minimizar posibles superficies de ataque.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
