Os mantenedores da ferramenta de arquivamento de arquivos WinRAR liberaram uma atualização para corrigir uma vulnerabilidade zero-day que estava sendo ativamente explorada.
Identificada como
CVE-2025-8088
(pontuação CVSS: 8.8), a questão foi descrita como um caso de path traversal afetando a versão do Windows da ferramenta, que poderia ser explorada para obter execução arbitrária de código ao criar arquivos de arquivo maliciosos.
"Ao extrair um arquivo, versões anteriores do WinRAR, versões Windows de RAR, UnRAR, código-fonte portátil UnRAR e UnRAR.dll podem ser enganadas para usar um caminho, definido em um arquivo especialmente criado, em vez de um caminho especificado", disse o WinRAR em um aviso.
Anton Cherepanov, Peter Kosinar e Peter Strycek da ESET foram creditados pela descoberta e pelo relatório do defeito de segurança, que foi abordado na versão 7.13 do WinRAR lançada em 31 de julho de 2025.
Atualmente, não se sabe como a vulnerabilidade está sendo armada em ataques no mundo real, e por quem.
Em 2023, outra vulnerabilidade afetando o WinRAR (
CVE-2023-38831
, pontuação CVSS: 7.8) passou por exploração intensiva, incluindo como um zero-day, por vários atores de ameaças da China e Rússia.
O fornecedor russo de cibersegurança BI.ZONE, em um relatório publicado na semana passada, disse haver indicações de que o grupo de hackers conhecido como Paper Werewolf (também conhecido como GOFFEE) pode ter explorado a
CVE-2025-8088
junto com a
CVE-2025-6218
, um bug de directory traversal na versão Windows do WinRAR que foi corrigido em junho de 2025.
É importante notar que, antes desses ataques, um ator de ameaça identificado como "zeroplayer" foi avistado anunciando em 7 de julho de 2025, um suposto exploit de zero-day do WinRAR no fórum dark web de língua russa Exploit.in por um preço de $80.000.
Suspeita-se que os atores do Paper Werewolf podem ter adquirido e usado para seus ataques.
"Em versões anteriores do WinRAR, assim como RAR, UnRAR, UnRAR.dll e o código-fonte portátil UnRAR para Windows, um arquivo especialmente criado contendo código arbitrário poderia ser usado para manipular caminhos de arquivos durante a extração", disse o WinRAR em um alerta para a
CVE-2025-6218
na época.
"A interação do usuário é necessária para explorar essa vulnerabilidade, o que poderia fazer com que arquivos fossem escritos fora do diretório pretendido.
Esta falha poderia ser explorada para colocar arquivos em locais sensíveis - como a pasta de inicialização do Windows - potencialmente levando à execução de código não intencional no próximo login do sistema." Os ataques, por BI.ZONE, visaram organizações russas em julho de 2025 por meio de emails de phishing contendo arquivos armadilhados que, quando lançados, acionaram a
CVE-2025-6218
e provavelmente a
CVE-2025-8088
para escrever arquivos fora do diretório alvo e alcançar a execução de código, enquanto um documento isca é apresentado à vítima como uma distração.
"A vulnerabilidade está relacionada ao fato de que, ao criar um arquivo RAR, você pode incluir um arquivo com fluxos de dados alternativos, os nomes dos quais contêm caminhos relativos", disse o BI.ZONE.
"Esses fluxos podem conter payload útil arbitrária.
Ao descompactar tal arquivo ou abrir um arquivo anexo diretamente do arquivo, os dados dos fluxos alternativos são escritos em diretórios arbitrários no disco, o que é um ataque de directory traversal." "A vulnerabilidade afeta versões do WinRAR até a versão 7.12.
A partir da versão 7.13, essa vulnerabilidade não é mais reproduzida." Uma dos payloads maliciosos em questão é um loader .NET que é projetado para enviar informações do sistema para um servidor externo e receber malware adicional, incluindo uma assembly .NET criptografada.
"Paper Werewolf usa o loader C# para obter o nome do computador da vítima e enviá-lo no link gerado para o servidor para obter o payload", acrescentou a empresa.
Paper Werewolf usa sockets no reverse shell para se comunicar com o servidor de controle.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...