أصدر مطورو أداة ضغط الملفات الشهيرة WinRAR تحديثًا أمنيًا لمعالجة ثغرة خطيرة من نوع يوم الصفر يتم استغلالها حاليًا في هجمات إلكترونية نشطة.
تفاصيل الثغرة CVE-2025-8088
تحمل الثغرة رقم CVE-2025-8088 بدرجة خطورة 8.8 على مقياس CVSS، وهي ثغرة من نوع اختراق المسارات Path Traversal تؤثر على نسخة ويندوز من الأداة، ويمكن استغلالها لتنفيذ تعليمات برمجية عشوائية عبر أرشيفات معدّة خصيصًا.
ووفقًا لتحذير WinRAR، فإن الإصدارات السابقة كانت تسمح، عند فك الضغط، باستخدام مسار مضمّن داخل الأرشيف بدلاً من المسار المحدد، وهو ما يتيح للمهاجمين زرع ملفات في مواقع حساسة على النظام.
مكتشفو الثغرة والإصلاح
تم اكتشاف الثغرة بواسطة الباحثين Anton Cherepanov وPeter Kosinar وPeter Strycek من شركة ESET، وتم إصلاحها في الإصدار 7.13 الصادر في 30 يوليو 2025.
سوابق استغلال WinRAR
تأتي هذه الثغرة بعد حادثة مشابهة عام 2023، حيث تم استغلال ثغرة أخرى في WinRAR (CVE-2023-38831) على نطاق واسع من قبل جهات تهديد صينية وروسية.
تقرير لشركة الأمن السيبراني الروسية BI.ZONE أشار إلى أن مجموعة قرصنة تُعرف باسم Paper Werewolf قد استغلت الثغرة الجديدة بالتزامن مع ثغرة أخرى CVE-2025-6218، والتي تم إصلاحها في يونيو 2025.
بيع الاستغلال في منتديات القرصنة
قبل بدء الهجمات، شوهد حساب باسم “zeroplayer” في 7 يوليو 2025 يعرض استغلال WinRAR جديدًا في منتدى القرصنة الروسي Exploit.in مقابل 80 ألف دولار، ويُرجَّح أن مجموعة Paper Werewolf حصلت عليه واستعملته في هجماتها.
طريقة الهجوم
اعتمدت الهجمات على أرشيفات RAR تحوي ملفات بتيارات بيانات بديلة ADSes بأسماء تتضمن مسارات نسبية، مما يسمح بكتابة الملفات في أدلة غير مخصصة لذلك، مثل مجلد بدء تشغيل ويندوز، وبالتالي تنفيذ التعليمات البرمجية عند تسجيل الدخول.
في يوليو 2025، استهدفت هذه الحملة منظمات روسية عبر رسائل تصيد مرفقة بأرشيفات خبيثة تستغل الثغرتين لزرع ملفات خبيثة وتشغيلها مع عرض مستند وهمي للضحية.
استغلال الثغرة من قبل مجموعة RomCom
قالت شركة ESET إنها رصدت لأول مرة مجموعة RomCom، الموالية لروسيا، وهي تستغل الثغرة CVE-2025-8088 في 18 يوليو 2025 كـ “يوم صفر”، مستهدفة شركات في قطاعات المال والصناعة والدفاع واللوجستيات في أوروبا وكندا.
الأرشيفات الخبيثة كانت تحتوي على ملفات بتيارات بيانات بديلة تستغل اختراق المسارات، مع مرفقات تبدو كسير ذاتية لإقناع الضحايا بفتحها. وعند الفتح، يتم تنفيذ DLL خبيث، ووضع اختصار LNK في مجلد بدء التشغيل لضمان البقاء بعد إعادة التشغيل.
حمولة البرمجيات الخبيثة
تتضمن الحملة تحميل برمجيات خلفية مثل SnipBot وRustyClaw وعميل Mythic، حيث يقوم RustyClaw بتحميل أداة أخرى تدعى MeltingClaw التي تنشر أبوابًا خلفية مثل ShadyHammock وDustyHammock.
ثغرة أخرى في 7-Zip
بالتوازي، أصدرت أداة 7-Zip تحديثًا لمعالجة ثغرة CVE-2025-55188 تسمح بالكتابة التعسفية للملفات بسبب طريقة تعامل الأداة مع الروابط الرمزية أثناء فك الضغط، ما قد يؤدي إلى تنفيذ تعليمات برمجية.
