WinRAR 零日漏洞被利用在解压档案时植入恶意软件

最近被修复的WinRAR漏洞（编号CVE-2025-8088）曾被作为零日漏洞在钓鱼攻击中被利用，用于安装RomCom恶意软件。

该漏洞是一个目录遍历漏洞，已在WinRAR 7.13版本中修复。借助此漏洞，经过特殊构造的压缩包可将文件提取到攻击者选定的文件路径中。

WinRAR 7.13的更新日志中写道：“在提取文件时，旧版本的WinRAR、Windows版RAR、UnRAR、便携版UnRAR源代码及UnRAR.dll可能会被诱导，使用经过特殊构造的压缩包中定义的路径，而非用户指定的路径。”

Unix版RAR、UnRAR、便携版UnRAR源代码及UnRAR库，以及安卓版RAR均不受此影响。

利用这一漏洞，攻击者可创建压缩包，将可执行文件提取到自动运行路径中，例如以下Windows启动文件夹：

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (用户本地路径)

%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (计算机全局路径)

当用户下次登录时，这些可执行文件会自动运行，使攻击者能够实现远程代码执行。

由于WinRAR不具备自动更新功能，强烈建议所有用户从win-rar.com手动下载并安装最新版本，以防范该漏洞带来的风险。

在攻击中作为零日漏洞被利用

该漏洞由ESET的发现。据透露，该漏洞已在钓鱼攻击中被活跃利用以安装恶意软件。安全研究人员表示：“ESET已观测到带有包含RAR文件的附件的鱼叉式钓鱼邮件。”这些压缩包利用CVE-2025-8088漏洞分发RomCom后门程序。

RomCom，也被追踪为Storm-0978、Tropical Scorpius或UNC2596，是一个俄罗斯黑客组织，涉及勒索软件、数据盗窃勒索攻击，以及专注于窃取凭证的活动。

该组织以在攻击中使用零日漏洞，以及使用定制恶意软件进行数据盗窃、维持持久控制和充当后门而闻名。据悉，RomCom此前已被证实与多个勒索软件行动有关，包括Cuba和Industrial Spy行动。