網絡安全公司 ESET 發佈安全報告,首次披露 WinRAR 存在編號為 CVE-2025-8088 的高危漏洞細節。該漏洞已被黑客組織實際利用,向用戶電腦植入多種惡意軟件,Windows 10 和 Windows 11 用戶需立即升級至 7.13 及更高版本防範風險。
7月18日,ESET 通過對可疑攻擊樣本的分析發現了該漏洞,隨後立即將情況告知 WinRAR 開發方。相關調查顯示,攻擊者的操作方式是構造特製 RAR 壓縮包,利用軟件的路徑遍歷缺陷,把惡意的 DLL、EXE 和 LNK 文件藏匿於「備用數據流」中。在用戶解壓文件的過程中,惡意文件會被提取到系統臨時目錄(包括 % TEMP%、% LOCALAPPDATA%)及 Windows 啓動目錄,從而達成開機自動運行的效果。而且,有部分惡意條目特意指向無效路徑,其目的是干擾用戶識別威脅。
報告清晰呈現了三條具有代表性的攻擊鏈條,每條鏈條分別關聯黑客組織 RomCom(別名 Storm-0978)的一款核心惡意軟件。具體攻擊步驟為:先由 LNK 文件觸發惡意 DLL 的加載流程,在完成 Shellcode 的解密與執行後,Mythic Agent、SnipBot 和 MeltingClaw 會建立遠程操控通道,進一步獲取並安裝更多惡意模塊。另外,俄羅斯安全公司 Bi.Zone 的監測數據顯示,「Paper Werewolf」團伙也已加入漏洞利用行列,這意味著漏洞被攻擊的情況正變得愈發普遍。
針對該漏洞,WinRAR 在 7 月 30 日發佈了 7.13 版修復補丁。但受限於軟件缺乏自動更新功能,用戶需自行手動下載安裝補丁,這使得補丁的實際覆蓋比例偏低。RarLab 作為開發方表示,目前沒有收到用戶真正受到攻擊的反饋,但安全專家強調,考慮到攻擊鏈條已被驗證可行,用戶必須立即更新版本,以免因使用舊版軟件受到惡意攻擊的侵害。
