Ciberseguridad 360 | Explotación activa en WinRAR

Los desarrolladores de WinRAR han lanzado una actualizaci�n para corregir una vulnerabilidad de d�a cero que est� siendo explotada activamente.

Registrado como CVE-2025-8088 (puntuaci�n CVSS: 8,8), el problema se ha descrito como un caso de traversal de ruta que afecta a la versi�n para Windows de la herramienta y que podr�a explotarse para obtener la ejecuci�n de c�digo arbitrario mediante la creaci�n de archivos maliciosos.

"Al extraer un archivo, las versiones anteriores de WinRAR, las versiones para Windows de RAR, UnRAR, el c�digo fuente port�til de UnRAR y UnRAR.dll pueden ser enga�adas para que utilicen una ruta, definida en un archivo especialmente creado, en lugar de una ruta especificada", afirm� WinRAR en un aviso.

Anton Cherepanov, Peter Kosinar y Peter Strycek, de ESET, han sido reconocidos por descubrir y notificar el defecto de seguridad, que se ha solucionado en la versi�n 7.13 de WinRAR, lanzada el 31 de julio de 2025.

Actualmente se desconoce c�mo se est� utilizando esta vulnerabilidad en ataques reales y qui�nes son los responsables. En 2023, otra vulnerabilidad que afectaba a WinRAR (CVE-2023-38831, puntuaci�n CVSS: 7,8) fue objeto de una intensa explotaci�n, incluso como vulnerabilidad de d�a cero, por parte de m�ltiples actores maliciosos de China y Rusia.

El proveedor ruso de ciberseguridad BI.ZONE, en un informe publicado la semana pasada, afirm� que hay indicios de que el grupo de hackers conocido como Paper Werewolf (tambi�n conocido como GOFFEE) podr�a haber aprovechado CVE-2025-8088 junto con CVE-2025-6218, un error de traversal de directorios en la versi�n para Windows de WinRAR que se corrigi� en junio de 2025.

Es importante se�alar que, antes de estos ataques, un actor malicioso identificado como "zeroplayer" fue visto anunciando el 7 de julio de 2025 un supuesto exploit de d�a cero de WinRAR en el foro en ruso de la dark web Exploit.in por un precio de 80 000 d�lares. Se sospecha que los actores de Paper Werewolf podr�an haberlo adquirido y utilizado para sus ataques.

"En versiones anteriores de WinRAR, as� como en RAR, UnRAR, UnRAR.dll y el c�digo fuente port�til de UnRAR para Windows, se pod�a utilizar un archivo especialmente dise�ado que conten�a c�digo arbitrario para manipular las rutas de los archivos durante la extracci�n", afirm� WinRAR en una alerta sobre CVE-2025-6218 en ese momento.

"Se requiere la interacci�n del usuario para explotar esta vulnerabilidad, lo que podr�a provocar que los archivos se escribieran fuera del directorio previsto. Esta falla podr�a explotarse para colocar archivos en ubicaciones sensibles, como la carpeta de inicio de Windows, lo que podr�a dar lugar a la ejecuci�n involuntaria de c�digo en el siguiente inicio de sesi�n del sistema".

Seg�n BI.ZONE, los ataques se dirigieron a organizaciones rusas en julio de 2025 a trav�s de correos electr�nicos de phishing que conten�an archivos trampa que, al ejecutarse, activaban CVE-2025-6218 y probablemente CVE-2025-8088 para escribir archivos fuera del directorio de destino y lograr la ejecuci�n de c�digo, mientras que se presentaba un documento se�uelo a la v�ctima como distracci�n.

"La vulnerabilidad est� relacionada con el hecho de que, al crear un archivo RAR, se puede incluir un archivo con flujos de datos alternativos, cuyos nombres contienen rutas relativas", explic� BI.ZONE. "Estos flujos pueden contener cargas �tiles arbitrarias. Al descomprimir dicho archivo o abrir un archivo adjunto directamente desde el archivo, los datos de los flujos alternativos se escriben en directorios arbitrarios del disco, lo que constituye un ataque de traversal de directorios".

"La vulnerabilidad afecta a las versiones de WinRAR hasta la 7.12 inclusive. A partir de la versi�n 7.13, esta vulnerabilidad ya no se reproduce".

Una de las cargas maliciosas en cuesti�n es un cargador .NET dise�ado para enviar informaci�n del sistema a un servidor externo y recibir malware adicional, incluido un ensamblado .NET cifrado.

"Paper Werewolf utiliza el cargador C# para obtener el nombre del ordenador de la v�ctima y enviarlo en el enlace generado al servidor para obtener la carga �til", a�adi� la empresa. �Paper Werewolf utiliza sockets en el shell inverso para comunicarse con el servidor de control".

Fuente: thehackernews