Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
CVE-2025-8088 to podatność typu path traversal w aplikacji WinRAR dla systemu Windows. Błąd pozwala na zapisanie plików poza katalogiem wskazanym do rozpakowania, z wykorzystaniem mechanizmów NTFS Alternate Data Streams, co może prowadzić do uruchomienia złośliwego kodu po otwarciu spreparowanego archiwum.
Choć producent udostępnił poprawkę w wersji WinRAR 7.13, luka pozostaje aktywnie wykorzystywana przez zaawansowane grupy zagrożeń. To pokazuje, że samo wydanie aktualizacji nie kończy ryzyka, jeśli organizacje nie wdrożą jej szybko i kompleksowo.
W skrócie
- Rosyjskie grupy APT nadal używają CVE-2025-8088 jako wektora początkowego dostępu.
- Kampanie są wymierzone głównie w organizacje ukraińskie i opierają się na spear-phishingu z archiwami RAR.
- Atak prowadzi do zapisania złośliwych plików m.in. w folderze autostartu Windows.
- Badacze opisali co najmniej dwa odrębne klastry aktywności: Earth Dahu oraz SHADOW-EARTH-066.
- W części kampanii końcowy malware koncentruje się na kradzieży danych z przeglądarek i dokumentów użytkownika.
Kontekst / historia
Podatność została uznana za istotne zagrożenie, ponieważ dotyczy jednego z najpopularniejszych narzędzi do obsługi archiwów w środowisku Windows. WinRAR jest szeroko używany zarówno w firmach, jak i administracji, a jednocześnie często nie podlega tak ścisłemu nadzorowi aktualizacji jak system operacyjny czy przeglądarki.
To właśnie ten czynnik wydłuża okno ekspozycji. W praktyce wiele organizacji przez długi czas pozostaje podatnych nawet po publikacji poprawki, ponieważ aplikacje użytkowe bywają pomijane w procesach patch management. Operatorzy APT wykorzystują ten stan, łącząc lukę z wiarygodnie przygotowanymi przynętami, takimi jak wezwania sądowe, rejestry administracyjne czy dokumenty związane ze sprzętem wojskowym.
Analiza techniczna
Mechanizm ataku jest relatywnie prosty po stronie ofiary. Użytkownik otwiera archiwum RAR i widzi dokument-wabik, najczęściej plik PDF lub podobny materiał mający wzbudzić zaufanie. W tle dochodzi jednak do zapisania dodatkowych plików poza katalogiem ekstrakcji, w tym do lokalizacji odpowiedzialnych za automatyczne uruchamianie składników po zalogowaniu do systemu.
W kampaniach przypisywanych klastrowi SHADOW-EARTH-066 zaobserwowano bardziej rozwinięty łańcuch infekcji. Złośliwe archiwum umieszczało skrót LNK w folderze autostartu, loader PowerShell w katalogu ProgramData oraz zakodowany ładunek DLL. Loader korzystał z technik utrudniających analizę, w tym silnego zaciemnienia i ładowania końcowego modułu wyłącznie do pamięci, bez pozostawiania odszyfrowanej biblioteki na dysku.
Końcowy malware miał charakter stealerowy i był ukierunkowany na pozyskanie danych z przeglądarek internetowych. Obejmowało to m.in. klucze główne, hasła oraz cookies sesyjne z popularnych aplikacji, a także wyszukiwanie dokumentów, arkuszy, prezentacji, baz KeePass czy plików konfiguracyjnych OpenVPN. Po eksfiltracji danych część artefaktów była usuwana, co ograniczało ilość śladów pozostających na stacji roboczej.
Earth Dahu wykorzystywał odmienny model operacyjny, mimo użycia tej samej podatności jako punktu wejścia. Zamiast rozbudowanego łańcucha ładowania grupa umieszczała w folderze autostartu pojedynczy plik HTA lub VBScript. Przy kolejnym logowaniu uruchamiał się proces mshta.exe, który pobierał dalsze skrypty i komponenty szpiegowskie. W kampaniach widoczne były też próby maskowania infrastruktury C2 przez adresy mające sprawiać wrażenie odwołań do zaufanych domen.
Wspólny mianownik tych działań jest niepokojący: do rozpoczęcia łańcucha infekcji wystarczy otwarcie odpowiednio spreparowanego archiwum. Z perspektywy zespołów obronnych oznacza to konieczność monitorowania nie tylko uruchomień plików wykonywalnych, ale również nietypowych operacji zapisu związanych z obsługą archiwów.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem wykorzystania CVE-2025-8088 jest przejście od pozornie zwykłego otwarcia archiwum do wykonania kodu w kontekście użytkownika. W organizacjach rządowych, wojskowych i administracyjnych może to prowadzić do kradzieży poświadczeń, przejęcia sesji przeglądarkowych, eksfiltracji dokumentów operacyjnych oraz dalszego ruchu bocznego w sieci.
Dodatkowym problemem jest wykorzystanie legalnego i powszechnie akceptowanego narzędzia. Aktywność związana z WinRAR może początkowo nie wyglądać jak klasyczne użycie exploita, przez co korelacja incydentu w SOC staje się trudniejsza. Jeżeli organizacja nie śledzi wersji aplikacji użytkowych, luka może pozostać niewidoczna mimo formalnej dostępności poprawki.
Rekomendacje
Najważniejszym krokiem jest natychmiastowe potwierdzenie wersji WinRAR we wszystkich systemach i aktualizacja do wersji 7.13 lub nowszej. Organizacje nie powinny opierać się na założeniu, że użytkownicy samodzielnie instalują poprawki dla oprogramowania spoza standardowego łańcucha aktualizacji systemu.
- zinwentaryzować wszystkie instalacje WinRAR i podobnych narzędzi archiwizujących,
- monitorować tworzenie plików LNK, HTA, VBS oraz skryptów PowerShell w folderach autostartu i katalogu ProgramData,
- blokować lub ograniczać użycie mshta.exe, wscript.exe i cscript.exe tam, gdzie nie są wymagane biznesowo,
- objąć archiwa RAR analizą sandboxową i kontrolą zawartości na bramach pocztowych,
- wdrożyć reguły wykrywające zapisy plików poza katalogiem wypakowania,
- zwiększyć świadomość użytkowników w zakresie spear-phishingu i dokumentów-przynęt,
- prowadzić threat hunting pod kątem kradzieży danych z przeglądarek oraz krótkotrwałych artefaktów usuwanych po eksfiltracji.
W środowiskach wysokiego ryzyka warto dodatkowo rozważyć application control, ograniczenie wykonywania skryptów z lokalizacji użytkownika oraz przegląd bezpieczeństwa skrzynek pocztowych pod kątem przejęć i nadużyć w komunikacji wewnętrznej.
Podsumowanie
CVE-2025-8088 pokazuje, że podatność nie przestaje być groźna w chwili publikacji poprawki. Dopóki organizacje nie wdrożą aktualizacji i nie skontrolują ekspozycji, luka pozostaje praktycznym narzędziem dla grup APT prowadzących ataki ukierunkowane.
Opisane kampanie Earth Dahu i SHADOW-EARTH-066 potwierdzają, że archiwa RAR nadal stanowią skuteczny nośnik infekcji, szczególnie gdy są połączone ze spear-phishingiem, mechanizmami autostartu i ładowaniem malware do pamięci. Dla obrońców kluczowe znaczenie mają szybkie aktualizacje, dobra telemetria endpointów oraz detekcja nietypowych ścieżek zapisu i uruchamiania kodu.