Los mantenedores de la utilidad de archivo de archivos Winrar han publicado una actualización para abordar una vulnerabilidad de día cero explotada activamente.
Seguido como CVE-2025-8088 (puntaje CVSS: 8.8), el problema se ha descrito como un caso de recorrido por ruta que afecta la versión de Windows de la herramienta que podría explotarse para obtener la ejecución del código arbitrario mediante la creación de archivos de archivo maliciosos.
«Al extraer un archivo, las versiones anteriores de Winrar, las versiones de Windows de RAR, UNRAR, el código fuente de UNRAR portátil y unrar.dll se pueden engañar para usar una ruta, definidas en un archivo especialmente elaborado, en lugar de una ruta especificada», dijo Winrar en un asesoramiento.
Anton Cherepanov, Peter Kosinar y Peter Strycek de ESET han sido acreditados por descubrir e informar el defecto de seguridad, que se ha abordado en Winrar versión 7.13 lanzado el 31 de julio de 2025.
Actualmente no se sabe cómo se está armando la vulnerabilidad en ataques del mundo real y quién. En 2023, otra vulnerabilidad que afecta a Winrar (CVE-2023-38831, puntaje CVSS: 7.8) quedó bajo una gran explotación, incluso como un día cero, por múltiples actores de amenazas de China y Rusia.
El proveedor de ciberseguridad ruso Bi.zone, en un informe publicado la semana pasada, dijo que hay indicios de que el grupo de piratería rastreado como Werewolf (alias Goffee) puede haber aprovechado CVE-2025-8088 de CVE-2025-6218, un error de directorio CVE-2025-8088 junto con CVE-2025-6218, un error traversal de directorio en la versión de Windows de Winrar de Winrar que se parchó en junio de 2025.
Es importante tener en cuenta que antes de estos ataques, un actor de amenaza identificado como «Zeroplayer» fue visto publicidad el 7 de julio de 2025, un supuesto exploit de día cero de Winrar en la explotación del foro web oscuro en ruso. Se sospecha que los actores de hombre lobo de papel pueden haberlo adquirido y lo han usado para sus ataques.
«En versiones anteriores de Winrar, así como RAR, Unrar, Unrar.dll, y el código fuente portátil de UNRAR para Windows, se podría usar un archivo especialmente elaborado que contiene código arbitrario para manipular rutas de archivos durante la extracción», dijo Winrar en una alerta para CVE-2025-6218 en el momento.
«Se requiere la interacción del usuario para explotar esta vulnerabilidad, lo que podría hacer que los archivos se escriban fuera del directorio previsto. Este defecto podría explotarse para colocar archivos en ubicaciones confidenciales, como la carpeta de inicio de Windows, lo que puede conducir a la ejecución de código no intencional en el siguiente inicio de sesión del sistema».
Los ataques, según la zona, se dirigieron a organizaciones rusas en julio de 2025 a través de correos electrónicos de phishing con archivos atrapados explosivos que, cuando se lanzan, se activaron CVE-2025-6218 y probablemente CVE-2025-8088 para escribir archivos fuera del directorio de destino y lograr la ejecución de código, mientras se presenta un documento Decoy a la victimización como una distracción.
«La vulnerabilidad está relacionada con el hecho de que al crear un archivo RAR, puede incluir un archivo con flujos de datos alternativos, cuyos nombres contienen rutas relativas», dijo Bi.Zone. «Estas transmisiones pueden contener carga útil arbitraria. Al desempacar dicho archivo o abrir un archivo adjunto directamente desde el archivo, los datos de las transmisiones alternativas se escriben en directorios arbitrarios en el disco, que es un ataque de recorrido de directorio».
«La vulnerabilidad afecta las versiones de Winrar hasta 7.12. A partir de la versión 7.13, esta vulnerabilidad ya no se reproduce».
Una de las cargas útiles maliciosas en cuestión es un cargador .NET diseñado para enviar información del sistema a un servidor externo y recibir malware adicional, incluido un ensamblaje de .NET cifrado.
«Paper Werewolf usa el cargador C# para obtener el nombre de la computadora de la víctima y enviarlo al enlace generado al servidor para obtener la carga útil», agregó la compañía. «Paper Werewolf usa enchufes en el shell inverso para comunicarse con el servidor de control».
Error de escritura de escritura arbitraria de 7 y enchufes de ZIP
La divulgación se produce como parches enviados por 7 ZIP para una falla de seguridad (CVE-2025-55188, puntaje CVSS: 2.7) que podrían ser abusados de la escritura de archivos arbitrarios debido a la forma en que la herramienta maneja los enlaces simbólicos durante la extracción, lo que puede resultar en la ejecución del código. El problema se ha abordado en la versión 25.01.
En un posible escenario de ataque, un actor de amenaza podría aprovechar la falla para lograr el acceso o la ejecución del código no autorizado al manipular archivos confidenciales, como sobrescribir las claves SSH de un usuario o el archivo .BASHRC.
El ataque se dirige principalmente a los sistemas UNIX, pero también se puede adaptar para ventanas con requisitos previos adicionales. «En Windows, el proceso de extracción de 7 ZIP debe tener la capacidad de crear enlaces simbólicos (por ejemplo, extraer con privilegios de administrador, Windows está en modo de desarrollador, etc.),» Investigador de seguridad «Lunbun».