WinRAR 7.13 sürümü, CVE-2025-8088 olarak izlenen bir dizin geçişi güvenlik açığı için düzeltmeyle birlikte yayımlandı. ESET araştırmacılarının saldırganların bu açığı aktif olarak kötüye kullandığını keşfetmesi sayesinde, artık bu güvenlik açığı hakkında daha fazla bilgi ortaya çıkmış durumda.
Güvenlik açığı, arşiv çıkarmayı işleyen bir çekirdek kütüphane olan UNRAR.dll dosyasında bulunuyor. Saldırganlar, yazılımı kandırarak dosyayı kullanıcının seçtiği dizin yerine kendi seçtikleri bir konuma yazdırabilen kötü amaçlı bir arşiv oluşturuyor. Bir dosya çıkarılırken, WinRAR’ın önceki sürümleri, RAR’ın Windows sürümleri, UnRAR, taşınabilir UnRAR kaynak kodu ve UnRAR.dll dosyası kullanıcı tarafından belirtilen yol yerine özel olarak hazırlanmış bir arşivde tanımlanan bir yolu kullanacak şekilde kandırılabiliyor.
ESET’ten Anton Cherepanov, Peter Košinár ve Peter Strýček’e göre, saldırganlar bu güvenlik açığından yararlanarak Başlangıç Klasörü gibi hassas sistem konumlarına yük bırakıyor. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup yoluna bir yürütülebilir dosya yerleştirildiğinde, kullanıcı oturum açtığında kötü amaçlı kod otomatik olarak çalışıyor. Bu eylem, saldırgana ele geçirilen bilgisayarda uzaktan kod çalıştırma yetkisi veriyor.
Saldırıların arkasındaki grubun RomCom ekibi olduğu düşünülüyor. RomCom kötü amaçlı yazılımı, en az 2022 yılından bu yana kullanımda olan bir Uzaktan Erişim Truva Atı (RAT). Bu truva atı, sosyal mühendislik yoluyla insanları kandırarak, bazen KeePass gibi popüler yazılımların web sitelerini taklit ederek çalışıyor. Böylece masum bir kullanıcı yükleyiciyi indirdiğinde, RAT da yükleyicinin yanına yükleniyor. Grup, geçmişte faaliyetlerini Ukrayna ve çeşitli NATO ülkeleri gibi ülkelere odaklamıştı.
WinRAR’da yerleşik bir otomatik güncelleme mekanizması bulunmuyor. Bu nedenle yazılımı kullanan herkesin korunmak için resmi web sitesini ziyaret edip 7.13 sürümünü yüklemesi gerekiyor.
