Advertentie
Er is een nieuwe kwetsbaarheid ontdekt in de bestandsarchiveringssoftware WinRAR die mogelijk backdoor-malware op Windows-pc's kan installeren. De zero-day-kwetsbaarheid werd ontdekt door beveiligingsonderzoekers van ESET en is geregistreerd als CVE-2025-8088, waarvan de aan Rusland gelinkte hackgroep RomCom actief misbruik zou maken.
De kwetsbaarheid is geclassificeerd als een directory traversal-lek waarmee kwaadaardige archieven bestanden kunnen plaatsen op door de aanvaller gekozen locaties. Door misbruik te maken van dit lek kunnen kwaadwillenden uitvoerbare bestanden plaatsen in autorun-mappen, zoals de Windows Opstartmap, op:
%APPDATA%\Microsoft\Windows\Startmenu\Programma's\Opstarten (gebruikerspecifiek)
%ProgramData%\Microsoft\Windows\Startmenu\Programma's\Opstarten (systeembreed)
Hierdoor kunnen de geplaatste schadelijke bestanden automatisch worden uitgevoerd de volgende keer dat het systeem opstart, waardoor aanvallers de mogelijkheid krijgen om code op afstand uit te voeren.
RomCom, bekend onder aliassen zoals Storm-0978, Tropical Scorpius, Void Rabisu of UNC2596, is een cybercrime- en cyberspionagegroep die banden heeft met Rusland. RomCom ontstond rond medio 2022 en richtte zich voornamelijk op entiteiten in Oekraïne, waaronder de overheid, het leger, de energiesector en de waterinfrastructuur. De groep heeft haar werkterrein inmiddels uitgebreid met organisaties en doelgroepen in de VS, Europa en internationaal die betrokken zijn bij humanitaire hulp in Oekraïne.
Het lek is erkend en verholpen via een nieuwe WinRAR-update met versie 7.13. Volgens de release notes kan het uitpakken van een bestand met behulp van eerdere versies van WinRAR, Windows-versies van RAR, UnRAR, de broncode van draagbare UnRAR en UnRAR.dll worden misleid om een pad te gebruiken dat is gedefinieerd in een speciaal samengesteld archief, in plaats van een door de gebruiker opgegeven pad. Omdat WinRAR geen automatische updatefunctie heeft, is het raadzaam de software handmatig bij te werken. Met name Unix-versies van RAR, UnRAR, draagbare UnRAR-broncode, de UnRAR-bibliotheek en RAR voor Android zijn veilig voor deze exploit.