Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Podatność CVE-2025-8088 w WinRAR to błąd typu path traversal, który umożliwia specjalnie spreparowanemu archiwum zapisanie plików poza katalogiem wybranym przez użytkownika podczas rozpakowywania. W praktyce otwiera to drogę do uzyskania trwałości w systemie, uruchamiania złośliwych komponentów po zalogowaniu oraz wdrażania malware służącego do kradzieży danych.
Choć poprawka dla tego błędu została udostępniona już w lipcu 2025 roku, najnowsze analizy pokazują, że luka nadal jest skutecznie wykorzystywana w realnych operacjach cyberszpiegowskich wymierzonych w organizacje na Ukrainie. To kolejny przykład, że opóźnienia w aktualizacjach popularnych narzędzi użytkowych mogą mieć bardzo poważne konsekwencje operacyjne.
W skrócie
Badacze bezpieczeństwa opisali dwa odrębne łańcuchy ataku wykorzystujące CVE-2025-8088 do infekowania systemów Windows. W obu przypadkach punktem wejścia były złośliwe archiwa RAR, które po rozpakowaniu zapisywały pliki poza oczekiwanym folderem i uruchamiały kolejne etapy infekcji.
- W kampanii przypisywanej klastrowi SHADOW-EARTH-066 końcowym ładunkiem był stealer GIFTEDCROOK.
- W działaniach wiązanych z Earth Dahu wdrażano zestaw narzędzi szpiegowskich obejmujący GammaPhish, GammaLoad i GammaSteel.
- Ataki pokazują, że nawet publicznie załatane luki pozostają użyteczne dla APT, jeśli organizacje nie kontrolują wersji oprogramowania na stacjach roboczych.
Kontekst / historia
WinRAR od lat pozostaje jednym z najczęściej używanych narzędzi do obsługi archiwów w środowiskach Windows. Jego popularność sprawia, że jest atrakcyjnym celem dla atakujących, ponieważ znajduje się w codziennym obiegu dokumentów, załączników i paczek plików przesyłanych między pracownikami, partnerami i urzędami.
Luka CVE-2025-8088 została załatana w wydaniu 7.13 Final opublikowanym 30 lipca 2025 roku. Producent wskazał, że problem pozwala obejść docelową ścieżkę ekstrakcji i zapisać dane w niezamierzonych lokalizacjach systemu plików. Mimo tego podatność pozostała aktywna w działaniach ofensywnych jeszcze przez wiele miesięcy po publikacji poprawki.
Z ustaleń badaczy wynika, że Earth Dahu wykorzystywało ten wektor co najmniej od września 2025 roku, a aktywność utrzymywała się przynajmniej do kwietnia 2026 roku. Równolegle SHADOW-EARTH-066 porzuciło wcześniejsze schematy oparte na makrach Excela i przeszło do dystrybucji malware przez złośliwe archiwa RAR, co dobrze pokazuje zmianę taktyki wraz z ewolucją mechanizmów obronnych.
Analiza techniczna
Techniczny rdzeń problemu polega na możliwości zapisania plików poza katalogiem wskazanym podczas rozpakowywania archiwum. W analizowanych kampaniach wykorzystywano do tego mechanizm NTFS Alternate Data Streams, który pozwala osadzać dodatkowe strumienie danych powiązane z plikami. Dzięki temu archiwum może zapisać elementy w lokalizacjach istotnych z perspektywy trwałości lub uruchomienia kolejnych etapów infekcji.
W łańcuchu przypisywanym SHADOW-EARTH-066 archiwum zawierało dokument-wabik PDF oraz ukryte ładunki osadzane przez ADS. Jednym z efektów było zapisanie skrótu LNK do folderu Startup, co zapewniało automatyczne wykonanie po zalogowaniu użytkownika. Następnie uruchamiane były polecenia przez cmd.exe, a potem loader PowerShell. Kolejny etap obejmował ładowanie biblioteki DLL bezpośrednio w pamięci, co finalnie prowadziło do uruchomienia nowszego wariantu GIFTEDCROOK.
Malware GIFTEDCROOK służyło do kradzieży haseł i cookies z przeglądarek opartych na Chromium, takich jak Chrome, Edge i Opera, a także z Mozilla Firefox. Dodatkowo zbierało dokumenty o wskazanych rozszerzeniach z systemu ofiary. Po eksfiltracji danych operatorzy usuwali część artefaktów infekcji, utrudniając analizę powłamaniową i skracając ślady dochodzeniowe.
W przypadku Earth Dahu eksploatacja CVE-2025-8088 była elementem łańcucha HTA-to-VBScript. Prowadziło to do wdrożenia komponentów związanych z rodziną Gamma, w tym GammaPhish, GammaLoad i GammaSteel. Badacze zwrócili uwagę na wykorzystanie mechanizmu Dead Drop Resolver, który zwiększa elastyczność pobierania kolejnych ładunków i utrudnia prostą blokadę infrastruktury. GammaSteel pełnił rolę rozbudowanego stealera oraz modułu nadzorczego zdolnego do monitorowania zmian w plikach niemal w czasie rzeczywistym.
Konsekwencje / ryzyko
Z punktu widzenia bezpieczeństwa przedsiębiorstw i instytucji publicznych CVE-2025-8088 to nie tylko kolejny błąd w popularnym archiwizerze. Atak wykorzystuje dobrze znany i zaufany proces otwierania oraz rozpakowywania plików, co obniża czujność użytkowników i może utrudniać wykrycie przez narzędzia koncentrujące się na bardziej klasycznych metodach dostarczenia malware.
Ryzyko operacyjne obejmuje kilka obszarów. Po pierwsze, atakujący mogą uzyskać trwałość dzięki zapisaniu komponentów do lokalizacji takich jak folder Startup. Po drugie, kradzież danych uwierzytelniających, sesyjnych cookies i dokumentów może prowadzić do przejęcia kont, ruchu bocznego w sieci oraz dalszych działań szpiegowskich. Po trzecie, usuwanie artefaktów po eksfiltracji utrudnia dochodzenia cyfrowe i wydłuża czas wykrycia incydentu.
W środowiskach objętych napięciami geopolitycznymi taki wektor może służyć zarówno klasycznemu cyberwywiadowi, jak i przygotowaniu kolejnych etapów operacji ofensywnych. Szczególnie niebezpieczne jest to, że wykorzystywana aplikacja nie należy do niszowych narzędzi, lecz do powszechnie instalowanego oprogramowania pomocniczego.
Rekomendacje
Najważniejszym krokiem pozostaje pełna aktualizacja WinRAR oraz wszystkich komponentów powiązanych z obsługą archiwów RAR i UnRAR w środowiskach Windows. Organizacje powinny potwierdzić stan wdrożenia poprawek na stacjach roboczych, serwerach administracyjnych i hostach uprzywilejowanych, zamiast zakładać, że aktualizacja została przeprowadzona wszędzie automatycznie.
- monitorować procesy rozpakowywania archiwów oraz następujące po nich uruchomienia LNK, HTA, VBScript, PowerShell i cmd.exe,
- wykrywać zapisy do folderów autostartu i innych lokalizacji trwałości bezpośrednio po ekstrakcji archiwum,
- ograniczać lub blokować wykonywanie HTA, VBScript i niepodpisanych skryptów PowerShell tam, gdzie nie są wymagane biznesowo,
- monitorować nietypowe użycie Alternate Data Streams w systemach Windows,
- wzmocnić reguły EDR pod kątem sekwencji: archiwum RAR, zapis poza folderem, LNK lub Startup, skrypt lub loader, DLL ładowana w pamięci,
- inspekcjonować ruch wychodzący pod kątem komunikacji z nową lub krótkotrwałą infrastrukturą C2.
Od strony organizacyjnej warto również ograniczyć lokalne uprawnienia użytkowników, wymusić separację środowisk administracyjnych, wdrożyć ochronę przeglądarek przed kradzieżą cookies oraz przeprowadzać rotację haseł i tokenów sesyjnych po wykryciu incydentu. W podmiotach wysokiego ryzyka zasadne jest też sandboxowanie archiwów i załączników pochodzących z zewnątrz oraz przygotowanie playbooków SOC dla infekcji inicjowanych przez narzędzia archiwizujące.
Podsumowanie
Przypadek CVE-2025-8088 potwierdza, że nawet po opublikowaniu poprawki popularne narzędzia użytkowe mogą przez długi czas pozostawać skutecznym wektorem ataku. Kampanie wymierzone w ukraińskie organizacje pokazują, że grupy powiązane z Rosją potrafią łączyć exploit w WinRAR z mechanizmami trwałości, skryptowymi loaderami i stealerami ukierunkowanymi na przeglądarki oraz dokumenty.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że zarządzanie podatnościami nie może ograniczać się wyłącznie do systemu operacyjnego i kluczowych aplikacji biznesowych. Równie ważne są narzędzia pomocnicze instalowane na stacjach końcowych, ponieważ to właśnie one coraz częściej stają się praktycznym punktem wejścia dla zaawansowanych kampanii cyberszpiegowskich.
Źródła
- The Hacker News — WinRAR Flaw Exploited by Russia-Aligned Groups to Deploy Stealers in Ukraine — https://thehackernews.com/2026/06/winrar-flaw-exploited-by-russia-aligned.html
- WinRAR 7.13 Final released — https://www.win-rar.com/singlenewsview.html?L=0&cHash=a64b4a8f662d3639dec8d65f47bc93c5&tx_ttnews%5Btt_news%5D=283
- Trend Micro Annual APT Report 2025 — Nation-Aligned — https://documents.trendmicro.com/assets/pdf/Annual-APT-Report-2025.pdf