آسیبپذیری خطرناک WinRAR راه را برای نصب بدافزار باز میکند
یک آسیبپذیری جدی در نسخه ویندوز نرمافزار «وینرر» (WinRAR) شناسایی شده که مهاجمان از آن برای نصب بدافزار در پوشههای اجرای خودکار ویندوز استفاده کردهاند. این مشکل با انتشار نسخه ۷٫۱۳ نهایی رفع شده، اما کاربران باید بهصورت دستی بهروزرسانی کنند.
RomCom به عملیاتهای جاسوسی سایبری وابسته به روسزبانها مرتبط است و سابقه استفاده از آسیبپذیریهای ناشناخته برای حملات جاسوسی و باجافزاری را دارد. بدافزار این گروه معمولاً از ارتباطات رمزگذاریشده بهره میبرد، در ابزارهای قانونی سیستم پنهان میشود و برای دور زدن سیستمهای امنیتی طراحی شده است.
توسعهدهندگان وینرر در ۳۰ ژوئیه ۲۰۲۵ نسخه ۷٫۱۳ نهایی را منتشر کردند که با مسدود کردن امکان استخراج فایلها به مسیرهای خارج از مقصد انتخابی کاربر، این مشکل را برطرف میکند و چند باگ جزئی دیگر را نیز رفع کرده است. با این حال، بهروزرسانی وینرر خودکار نیست و کاربران باید آن را بهصورت دستی از وبسایت رسمی دریافت و نصب کنند.
کارشناسان امنیتی هشدار میدهند با توجه به بیش از نیم میلیارد کاربر فعال وینرر، این نرمافزار هدفی ارزشمند برای مجرمان سایبری محسوب میشود. آنها بر اهمیت بهروزرسانی منظم نرمافزار، احتیاط در باز کردن پیوستهای ایمیل ناشناس، استفاده از آنتیویروسهای توانمند در شناسایی تهدیدات داخل فایلهای فشرده، و بررسی دورهای پوشههای Startup برای یافتن فایلهای ناشناس تأکید دارند.
پژوهشگران امنیتی شرکت ESET آسیبپذیری خطرناکی با شناسه CVE-2025-8088 را در نسخه ویندوز نرمافزار «وینرر» کشف کردهاند که پیشتر در حملات واقعی فیشینگ مورد سوءاستفاده قرار گرفته است.
WinRAR یک نرمافزار محبوب برای فشردهسازی و مدیریت فایلهای فشرده است که توسط شرکت RARLAB توسعه داده شده است.
این نرمافزار از فرمتهای مختلف فشردهسازی پشتیبانی میکند و ابزاری قدرتمند برای کاهش حجم فایلها، سازماندهی آنها و محافظت از دادهها است.
به گزارش ایتنا و به نقل از تکاسپات، این نقص که از نوع «عبور از مسیر» (Path Traversal) است، به مهاجمان اجازه میدهد فایلهای مخرب را در مکانهای غیرمجاز سیستم قربانی، از جمله پوشههای شروع خودکار ویندوز، قرار دهند.
در حالت عادی، وینرر باید فایلها را فقط در مسیر انتخابشده توسط کاربر استخراج کند، اما این آسیبپذیری میتواند نرمافزار را فریب دهد تا فایلها را در پوشههای حساس سیستمی -مانند Startup- کپی کند. بدافزار ذخیرهشده در این پوشهها با هر بار راهاندازی مجدد سیستم، بهطور خودکار اجرا میشود و کنترل مداوم دستگاه را در اختیار مهاجم قرار میدهد.
این مشکل فقط نسخههای ویندوز و ابزارهای مرتبط مانند RAR، UnRAR، کد منبع Portable UnRAR و فایل UnRAR.dll را تحتتأثیر قرار میدهد و نسخههای یونیکس یا اندروید در معرض خطر نیستند.
گروه هکری موسوم به «RomCom» که با نامهای Storm-0978، Tropical Scorpius یا UNC2596 نیز شناخته میشود، از جمله مهاجمانی است که از این نقص در حملات هدفمند ایمیلی استفاده کرده است.
در این حملات، قربانیان ایمیلهایی حاوی فایلهای RAR آلوده دریافت کردهاند و با باز کردن آنها در نسخههای قدیمی وینرر، بدافزار RomCom روی سیستم نصب شده است. این بدافزار توانایی سرقت اطلاعات حساس، نصب بدافزارهای تکمیلی و حفظ دسترسی طولانیمدت و مخفی به سیستم را دارد.
این نرمافزار از فرمتهای مختلف فشردهسازی پشتیبانی میکند و ابزاری قدرتمند برای کاهش حجم فایلها، سازماندهی آنها و محافظت از دادهها است.
به گزارش ایتنا و به نقل از تکاسپات، این نقص که از نوع «عبور از مسیر» (Path Traversal) است، به مهاجمان اجازه میدهد فایلهای مخرب را در مکانهای غیرمجاز سیستم قربانی، از جمله پوشههای شروع خودکار ویندوز، قرار دهند.
در حالت عادی، وینرر باید فایلها را فقط در مسیر انتخابشده توسط کاربر استخراج کند، اما این آسیبپذیری میتواند نرمافزار را فریب دهد تا فایلها را در پوشههای حساس سیستمی -مانند Startup- کپی کند. بدافزار ذخیرهشده در این پوشهها با هر بار راهاندازی مجدد سیستم، بهطور خودکار اجرا میشود و کنترل مداوم دستگاه را در اختیار مهاجم قرار میدهد.
این مشکل فقط نسخههای ویندوز و ابزارهای مرتبط مانند RAR، UnRAR، کد منبع Portable UnRAR و فایل UnRAR.dll را تحتتأثیر قرار میدهد و نسخههای یونیکس یا اندروید در معرض خطر نیستند.
گروه هکری موسوم به «RomCom» که با نامهای Storm-0978، Tropical Scorpius یا UNC2596 نیز شناخته میشود، از جمله مهاجمانی است که از این نقص در حملات هدفمند ایمیلی استفاده کرده است.
در این حملات، قربانیان ایمیلهایی حاوی فایلهای RAR آلوده دریافت کردهاند و با باز کردن آنها در نسخههای قدیمی وینرر، بدافزار RomCom روی سیستم نصب شده است. این بدافزار توانایی سرقت اطلاعات حساس، نصب بدافزارهای تکمیلی و حفظ دسترسی طولانیمدت و مخفی به سیستم را دارد.
RomCom به عملیاتهای جاسوسی سایبری وابسته به روسزبانها مرتبط است و سابقه استفاده از آسیبپذیریهای ناشناخته برای حملات جاسوسی و باجافزاری را دارد. بدافزار این گروه معمولاً از ارتباطات رمزگذاریشده بهره میبرد، در ابزارهای قانونی سیستم پنهان میشود و برای دور زدن سیستمهای امنیتی طراحی شده است.
توسعهدهندگان وینرر در ۳۰ ژوئیه ۲۰۲۵ نسخه ۷٫۱۳ نهایی را منتشر کردند که با مسدود کردن امکان استخراج فایلها به مسیرهای خارج از مقصد انتخابی کاربر، این مشکل را برطرف میکند و چند باگ جزئی دیگر را نیز رفع کرده است. با این حال، بهروزرسانی وینرر خودکار نیست و کاربران باید آن را بهصورت دستی از وبسایت رسمی دریافت و نصب کنند.
کارشناسان امنیتی هشدار میدهند با توجه به بیش از نیم میلیارد کاربر فعال وینرر، این نرمافزار هدفی ارزشمند برای مجرمان سایبری محسوب میشود. آنها بر اهمیت بهروزرسانی منظم نرمافزار، احتیاط در باز کردن پیوستهای ایمیل ناشناس، استفاده از آنتیویروسهای توانمند در شناسایی تهدیدات داخل فایلهای فشرده، و بررسی دورهای پوشههای Startup برای یافتن فایلهای ناشناس تأکید دارند.
*
