Қауіпсіздік ескертуі12 ақпан 20267 мин оқу

CVE-2025-8088: WinRAR-дегі аса қауіпті Path Traversal — Zero-Day RCE

WinRAR файлдарын шығару кезінде пайда болатын path traversal осалдығы NTFS Alternate Data Streams (ADS) арқылы шабуылдашуларға кез келген кодты орындауға жағдай жасайды. Ақпарат төменде берілген.

8.8
CVSS бағасы
ЖОҒАРЫ ДЕҢГЕЙ
Шабуыл векторы: Жергілікте
Эксплойт жетілуі: Қаруланған
Patch қолжетімді: Иә
Белсенді пайдалану: Расталған

Қысқаша — Қазір жаңартыңыз!

  • CVE-2025-8088 — WinRAR ішінде көрінбей жазу жасайтын Critical Arbitrary File Write осалдығы
  • NTFS Alternate Data Streams көмегімен Windows Startup folder ішіне зиянды код жасырын орналастырылады
  • Осал нұсқалар: WinRAR 7.13-ке дейінгі барлық релиздері
  • Шешім: WinRAR-ды 7.13 нұсқасына немесе одан жаңасына дереу жаңарту

CVE-2025-8088 дегеніміз не?

Бұл path traversal түріндегі жоғары деңгейлі осалдық — WinRAR ZIP немесе shell-архив ішіндегі NTFS ADS элементтерін өңдеу барысында жеткілікте валидация жүргізбейді. Нәтижеде шабуылдашы арнайы дайындалған архив арқылы файлды мақсатты қалтадан тысқары — атап айтқанда, Windows Startup folder сияқты жүйелік директорияға жасырын түрде орналастыра алады. Құрылғы келесі рет қайта жүктелген кезде осы файл автоматты орындалып, Remote Code Execution (RCE) жүзеге асады.
Шабуыл процесінің визуализациясы
  1. Пайдаланушы зиянды ZIP/shell-архив жүктейді
  2. Осал WinRAR нұсқасы архивті шығарады
  3. Зиянды файл NTFS ADS арқылы мақсатты жол тексерүсін айналып өтеді
  4. Payload үнсіз түрде Startup folder ішіне жазылады
  5. Компьютер қайта жүктелгенде malware автоматты іске қосылады

Қалай жұмыс істейді?

NTFS Alternate Data Streams файлдарға қосымша дерек ағынын қосуға мүмкіндік береді. Шабуылдашы архивтегі файл атауына қос нүкте (:) енгізіп, ADS арқылы WinRAR-ды шатастырады. Осылай payload C:\Users\<User>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup сияқты жүйелік қалтаға түседі. Файл ADS ішінде немесе жалған атаумен жасырылады, сондықтан пайдаланушы оны байқамайды, бірақ құрылғы компрометтеледі.

Зардап және қауіптілік деңгейі

CVSS Score: 8.8 (High). Осалдық RomCom және басқа APT топтары арқылы белсенді түрде пайдаланушыда. Негізгі қауіптер: • Remote Code Execution: шабуылдашы құрылғыны толық басқарады. • Persistence: зиянды бағдарлама Startup folder арқасында қайта жүктелесе де қалады. • Деректердің ұрлануы: құпия файлдар мен credential деректер сыртқа шығарылуы мүмкін.

Қандай нұсқалар зардап шегеді?

WinRAR-дың 7.13-ке дейінгі барлық нұсқалары CVE-2025-8088 осалдығына ашық.

Қалай түзетуге керек?

1-әдіс. WinRAR-ды жаңарту (міндетті). rarlab.com сайтынан 7.13 немесе одан жоғары нұсқаны жүктеп орнатыңыз. Patch файл атауларын тексерудің және NTFS stream валидациясын күшейтеді. 2-әдіс. Уақытша қорғаныс. Жаңарту мүмкін болмаса, сенімсіз дереккөздерден алынған архивтерді шығармаңыз. Қауіпсіздік әкімшілері Endpoint Detection and Response (EDR) ережелер арқылы archive extraction процесі кезінде пайда болған орындалатын файлдарды блоктай алады.

Осалдықты қалай тексеруге болады?

Ұйым ескі WinRAR нұсқаларын қолданса, Zero-Day шабуыл қаупі жоғары. TEPTEZ платформа endpoint құрылғыларын автоматты түрде скенерлеп, CVE-2025-8088 сияқты осал софт нұсқаларын анықтайды. Жүйе нақты уақыт режимінде осалдықты көрсетіп, әрекетте көшетін қадамдары ұсынады.

Ресурстар

Эксплойтацияны қалай анықтауға болады
  • [01]Windows Startup folder ішінде күтпеген файлдардың бар-жоғын бақылау
  • [02]Startup directory-ден басталатын процесс тізбектерін журналдан тексеру
  • [03]WinRAR шығарып жатқан файлдардың NTFS stream атрибутарын қадағалау
  • [04]Файл жүйесі журналдарында ADS белгісі бар күмәнді жазбалардан іздеу

TEPTEZ арқылы жүйелеріңізді қорғаңыз

Келесі zero-day күтпеңіз. TEPTEZ жүйелеріңізді CVE осалдықтары, дұрыс емес конфигурациялар және қауіпсіздік қатерлеріне үздіксіз бақылайды.

Тегін скенерлеуді бастау