CyberThao
Writer
Nhà phát triển WinRAR vừa phát hành bản cập nhật khẩn cấp để xử lý lỗ hổng bảo mật zero-day CVE-2025-8088 (điểm CVSS: 8,8) đang bị tin tặc khai thác tích cực. Đây là lỗi xâm nhập đường dẫn cho phép kẻ tấn công thực thi mã tùy ý thông qua các tệp lưu trữ độc hại.
Theo WinRAR, các phiên bản cũ của WinRAR, RAR cho Windows, UnRAR, mã nguồn UnRAR di động và UnRAR.dll có thể bị lợi dụng để giải nén tệp tới đường dẫn trái phép thay vì thư mục chỉ định. Lỗ hổng được phát hiện và báo cáo bởi Anton Cherepanov, Peter Kosinar và Peter Strycek (ESET), đã được vá trong WinRAR 7.13 phát hành ngày 31/7/2025.
Cách khai thác bao gồm: tạo tệp RAR chứa luồng dữ liệu thay thế (ADS) với tên chứa đường dẫn tương đối, cho phép ghi dữ liệu tùy ý ra ngoài thư mục đích – ví dụ như thư mục Khởi động Windows – từ đó thực thi mã khi hệ thống khởi động. BI.ZONE ghi nhận các cuộc tấn công nhằm vào tổ chức tại Nga trong tháng 7/2025.
Ngoài Paper Werewolf, nhóm RomCom (liên kết với Nga) cũng bị ESET phát hiện khai thác CVE-2025-8088 như zero-day. Chiến dịch này nhắm vào các công ty tài chính, sản xuất, quốc phòng và hậu cần ở châu Âu, Canada, sử dụng mồi nhử hồ sơ xin việc để dụ nạn nhân mở tệp đính kèm. Khi nạn nhân giải nén, mã độc sẽ thực thi DLL, thiết lập LNK trong thư mục khởi động để duy trì, cài backdoor như SnipBot, RustyClaw, Mythic, hoặc trình tải MeltingClaw để phát tán thêm phần mềm độc hại.
Khuyến nghị: Người dùng nên cập nhật ngay WinRAR lên phiên bản 7.13 hoặc mới hơn, và 7-Zip lên phiên bản 25.01 để tránh nguy cơ bị tấn công.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/winrar-zero-day-under-active.html
Theo WinRAR, các phiên bản cũ của WinRAR, RAR cho Windows, UnRAR, mã nguồn UnRAR di động và UnRAR.dll có thể bị lợi dụng để giải nén tệp tới đường dẫn trái phép thay vì thư mục chỉ định. Lỗ hổng được phát hiện và báo cáo bởi Anton Cherepanov, Peter Kosinar và Peter Strycek (ESET), đã được vá trong WinRAR 7.13 phát hành ngày 31/7/2025.
Cách thức khai thác và nhóm tấn công liên quan
Dù chưa rõ chi tiết các cuộc tấn công thực tế, nhưng BI.ZONE cho biết nhóm tin tặc Paper Werewolf (GOFFEE) có thể đã kết hợp CVE-2025-8088 với CVE-2025-6218 (lỗi duyệt thư mục đã vá tháng 6/2025) để phát tán mã độc qua email lừa đảo. Trước đó, một tác nhân có tên "zeroplayer" đã rao bán lỗ hổng zero-day WinRAR trên diễn đàn dark web tiếng Nga với giá 80.000 USD (~1,97 tỷ VNĐ).
Cách khai thác bao gồm: tạo tệp RAR chứa luồng dữ liệu thay thế (ADS) với tên chứa đường dẫn tương đối, cho phép ghi dữ liệu tùy ý ra ngoài thư mục đích – ví dụ như thư mục Khởi động Windows – từ đó thực thi mã khi hệ thống khởi động. BI.ZONE ghi nhận các cuộc tấn công nhằm vào tổ chức tại Nga trong tháng 7/2025.
Ngoài Paper Werewolf, nhóm RomCom (liên kết với Nga) cũng bị ESET phát hiện khai thác CVE-2025-8088 như zero-day. Chiến dịch này nhắm vào các công ty tài chính, sản xuất, quốc phòng và hậu cần ở châu Âu, Canada, sử dụng mồi nhử hồ sơ xin việc để dụ nạn nhân mở tệp đính kèm. Khi nạn nhân giải nén, mã độc sẽ thực thi DLL, thiết lập LNK trong thư mục khởi động để duy trì, cài backdoor như SnipBot, RustyClaw, Mythic, hoặc trình tải MeltingClaw để phát tán thêm phần mềm độc hại.
Lỗ hổng 7-Zip cũng được vá
Thông tin trên xuất hiện ngay sau khi 7-Zip vá lỗi CVE-2025-55188 (điểm CVSS: 2,7) – lỗ hổng cho phép ghi đè tệp tùy ý thông qua liên kết tượng trưng khi giải nén. Lỗi ảnh hưởng chủ yếu đến hệ thống Unix, nhưng có thể khai thác trên Windows nếu chạy với quyền quản trị hoặc bật Chế độ Nhà phát triển.Khuyến nghị: Người dùng nên cập nhật ngay WinRAR lên phiên bản 7.13 hoặc mới hơn, và 7-Zip lên phiên bản 25.01 để tránh nguy cơ bị tấn công.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/winrar-zero-day-under-active.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
