WinRAR w ogniu krytyki – luka CVE-2025-8088 zagraża użytkownikom

Kiedy ostatnio zaktualizowałeś WinRAR? Jeśli odpowiedź brzmi „nie pamiętam”, ktoś mógł już włożyć do twojego komputera plik, który uruchomi się przy następnym logowaniu.

Krytyczna luka CVE-2025-8088 w WinRAR była wykorzystywana w atakach od 18 lipca 2025 r., zanim została załatana 30 lipca (wersja 7.13). Mimo to – klasyka gatunku – po łatce eksploit żyje swoim „n-dayowym” życiem. Google GTIG, ESET i inni widzą go w kampaniach zarówno grup państwowych (Rosja, Chiny), jak i zwykłych cyberprzestępców, którzy dostarczają wszystko: od spyware po kradzież danych i RAT-y.

WinRAR to jeden z tych nudnych, wszechobecnych programów, które po prostu „są”. I właśnie dlatego jest atrakcyjny. W 2025 r. archiwa RAR stały się znów wygodnym wehikułem dostępu początkowego: błędy katalogów i strumieni danych NTFS pozwalały zrzucać pliki w newralgicznych lokalizacjach, jak folder Autostart. To nie są efektowne łańcuchy 0-day – to rzemiosło, które działa, bo użytkownicy i organizacje łatali się zbyt wolno.

O co chodzi w CVE-2025-8088

Sedno to podatność typu path traversal w windowsowej wersji WinRAR, zgrabnie połączona z Alternate Data Streams (ADS). Napastnicy pakują do archiwum przynętę (np. PDF), a „pod spodem” ukrywają złośliwy strumień. Gdy ofiara otwiera archiwum w podatnej wersji, zawartość ADS ląduje poza wskazanym katalogiem – często w Autostarcie – i uruchamia się przy kolejnym logowaniu. Nie trzeba instalatora ani wyszukanych trików: wystarczy otwarcie „dokumentu z załącznika”. [1]

Google GTIG opisuje ten łańcuch jako powtarzalny wzorzec: przynęta w archiwum, złośliwa zawartość w ADS, przejście katalogów i zapis do wrażliwego miejsca. RARLAB załatał błąd w 7.13, ale to niewiele zmienia, jeśli środowiska nadal działają na wersjach ≤7.12.

Kto i jak to wykorzystuje

ESET jako pierwszy zaobserwował, że RomCom (UNC4895/CIGAR) używał CVE-2025-8088 jako zero-day już 18 lipca 2025. Potem zrobiło się tłoczno. Google wymienia rosyjskie APT: APT44 (FROZENBARENTS) operujący na ukraińskich przynętach, TEMP.Armageddon (CARPATHIAN) z prostymi downloaderami HTA wrzucanymi do Autostartu (kampanie weszły w 2026 r.), Turla (SUMMIT) dostarczająca zestaw STOCKSTAY. Chińsko powiązani operatorzy dorzucili klasykę w rodzaju POISONIVY, osadzoną choćby w pliku BAT. [9][2]

Wątek azjatycki ma ciąg dalszy: opisywana jako Autumn Dragon grupa z Chin prowadziła w 2025 r. spokojną, wieloetapową kampanię szpiegowską w Azji Południowo-Wschodniej. Start? Spear-phishing z broniącymi RAR-ami i CVE-2025-8088, który podkładał batch „Windows Defender Definition Update.cmd” do uruchomienia po logowaniu. Dalej następowało sideloadowanie DLL (np. z użyciem przeglądarki OBS i spreparowanego libcef.dll), C2 na Telegramie i selektywne rozpoznanie ofiary. Mniej fajerwerków, więcej konsekwencji. [6]

Nie zabrakło też cyberprzestępców nastawionych na szybki zysk: przez ten sam wektor krążą XWorm, AsyncRAT, proste backdoory sterowane przez boty Telegrama czy złośliwe rozszerzenia do przeglądarki. Pliki zrzucane z archiwów to w praktyce skróty LNK, HTA, BAT, CMD i skrypty – rzeczy, które Windows z przyzwyczajenia wykonuje bez szemrania.

A to nie jedyny winny epizod WinRAR-a w 2025 r. CISA dodała do katalogu KEV pokrewną lukę CVE-2025-6218 (załataną w 7.12), również związaną z traversalem i możliwością zapisów do Autostartu. Rosyjski Gamaredon, poza klasycznym VBScript malware, miał według badaczy pójść dalej i użyć tego wektora do wiperów (GamaWiper) – rzadki w ich repertuarze zwrot w stronę destrukcji. Z kolei BI.ZONE opisywało, jak Paper Werewolf (GOFFEE) łączył 6218 i 8088, atakując w lipcu 2025 rosyjskie organizacje. W tle przewija się „zeroplayer” – sprzedawca eksploita na forach, który latem miał oferować działający pakiet za około 80 tys. dolarów. Rynek eksploita już dawno jest jak e-commerce: wybierasz, płacisz, używasz. [3][9]

Szerszy obraz: ekonomia n-dayów i stare, dobre archiwa

Kaspersky zauważał w Q3 2025 rosnącą popularność ataków na WinRAR i inne „przyziemne” wektory, zwłaszcza tam, gdzie w grę wchodzą katalogi i rozpakowywanie archiwów. To zgodne z szerszym trendem: w 2025 r. tempo publikacji nowych CVE było rekordowe, a klasy błędów pokroju niewłaściwej walidacji danych czy traversalów przyciągały i APT, i gangi ransomware. Google GTIG podsumowuje to wprost: po wydaniu łatki atakujący wciąż chętnie sięgają po n-daye i korzystają z powolnego patchowania. Dostawcy eksploita dodatkowo obniżają próg wejścia – dziś nie trzeba być Turlą, by rozpakować sobie furtkę do sieci ofiary.

Praktyka i wnioski obrońcy

Nie ma tu magii. Jest higiena. Wersja 7.13 (i nowsze) WinRAR-a to absolutne minimum. Filtry pocztowe, które rozumieją ADS w RAR-ach, wykrywają LNK/HTA w załącznikach i blokują nietypowe ścieżki rozpakowywania, realnie ratują skórę użytkownikom klikającym w „PDF-y”. Monitoring zapisów do Autostartu, reguły, które traktują LNK jako podejrzane, i hunt na artefakty ADS – to są brudne, ale skuteczne rękawice. Google dodaje, że Safe Browsing i Gmail potrafią wyłapać pliki z tym eksploitem; nie zaszkodzi dołożyć własnych kontrolek.

I jeszcze jedna rzecz: jeśli twoja organizacja nadal używa staroci sprzed łatki „na przeczekanie”, to grasz w grę z przeciwnikiem, który ma czas, budżet i gotowe narzędzia. ADS w RAR-ach to jak listonosz z dwiema kopertami – jedną ładną, drugą zaadresowaną wprost do twojego Autostartu. Patrzysz na pierwszą, działa druga.

Podsumowanie

WinRAR znów w centrum wydarzeń – nie dlatego, że jest „sexy”, tylko dlatego, że jest wszędzie. CVE-2025-8088 pokazała, jak skuteczny bywa prosty, masowy wektor, gdy rynek eksploita jest zorganizowany, a łatki wdrażane z opóźnieniem. Zaktualizujesz dziś, czy poczekasz do następnego logowania – tego z niespodzianką?

Źródła

• [1] https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/
• [2] https://bleepingcomputer.com/news/security/winrar-path-traversal-flaw-still-exploited-by-numerous-hackers/
• [3] https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html
• [4] https://helpnetsecurity.com/2025/08/17/week-in-review-2-threat-actors-exploiting-winrar-0-day-microsoft-fixes-badsuccessor-kerberos-flaw/
• [5] https://securelist.com/vulnerabilities-and-exploits-in-q3-2025/118197/
• [6] https://gbhackers.com/chinese-apt-group-2/
• [7] https://cyble.com/knowledge-hub/10-vulnerability-types-threat-actors/
• [8] https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability
• [9] https://thehackernews.com/2025/08/winrar-zero-day-under-active.html