資安研究機構ESET發現一個WinRAR零時差漏洞:CVE-2025-8088,該漏洞已被俄羅斯駭客組織RomCom在攻擊活動中利用。此路徑遍歷漏洞允許攻擊者透過特製壓縮檔,將惡意檔案寫入使用者系統的指定路徑。
CVE-2025-8088屬於路徑遍歷類型漏洞,影響WinRAR 7.12及之前版本。攻擊者透過替代資料流機制實現路徑遍歷攻擊。官方已在WinRAR 7.13版本中修復此漏洞。
攻擊活動分析
根據ESET遙測數據,攻擊活動發生在2025年7月18日至7月21日期間。攻擊目標包括歐洲及加拿大地區的金融、製造、國防及物流等產業的企業組織。
攻擊者使用魚叉式釣魚郵件,偽裝成求職履歷等文件來引誘目標開啟惡意壓縮檔。這些壓縮檔包含名為msedge.dll的惡意動態連結庫,利用漏洞將惡意程式寫入Windows啟動資料夾,使惡意程式在使用者下次登入時自動執行。
RomCom駭客組織亦稱Storm-0978、Tropical Scorpius或UNC2596,是一個與俄羅斯相關的進階持續性威脅組織。該組織同時進行網路間諜活動與網路犯罪,過去曾多次使用零時差漏洞進行攻擊。
此次攻擊中使用的惡意軟體包括SnipBot變種、RustyClaw及Mythic代理程式。這些工具具備執行遠端命令與下載額外模組的功能。
ESET確認目標組織未實際遭到入侵,但攻擊者對目標的選擇顯示出明確的規劃。攻擊目標的產業類型及地理分佈符合俄羅斯國家級駭客組織的關注範圍。
防護措施建議
使用者應將WinRAR升級至7.13版本或更新版本。由於WinRAR缺乏自動更新功能,需要從官方網站win-rar.com手動下載安裝。此漏洞同時影響Windows版本的RAR命令列工具、UnRAR.dll及可攜式UnRAR原始碼。
組織應強化電子郵件安全機制,對壓縮檔附件進行檢測。同時建議對員工進行資安教育,提醒謹慎處理來源不明的檔案。IT管理人員可監控Windows啟動資料夾的檔案變化,相關路徑包括:
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp
網路監控方面,資安人員應關注異常的外連通訊活動。建議WinRAR使用者檢查目前使用版本並進行更新。如需協助評估相關風險,可諮詢專業資安服務提供者。