WinRAR 出现高危漏洞

1 月 28 日消息，谷歌威胁情报小组（GTIG）联合安全厂商 ESET 发布安全报告，现有证据显示，全球多个黑客组织正大肆利用 WinRAR 的高危漏洞 CVE-2025-8088 发起网络攻击。

谷歌威胁情报小组披露，针对该漏洞的利用行动，最早可追溯至 2025 年 7 月 18 日，且相关攻击活动至今仍在持续。ESET 研究人员则早在 2025 年 8 月初就已发现这一漏洞，并证实亲俄黑客组织 RomCom 彼时已将其用于零日攻击。

针对该安全风险，WinRAR 官方已于 2025 年 7 月 30 日推送补丁修复，同时强烈提醒所有用户，尽快将 WinRAR 升级至 7.13 及以上版本，从根源规避漏洞被利用的风险。

该漏洞的核心攻击逻辑，是借助 Windows 系统的 “备用数据流（ADS）” 特性实施路径遍历攻击。据谷歌研究人员介绍，攻击者通常会将恶意文件，藏匿于压缩包内 PDF 文档等诱饵文件的 ADS 中，用户仅打开查看诱饵文件后，WinRAR 便会在后台通过目录遍历，将 LNK、HTA、BAT、各类脚本等恶意载荷，解压并释放至系统任意路径。

其中，Windows 启动文件夹是攻击者最常锁定的释放目标，恶意脚本一旦被放入该目录，就会在用户下次登录系统时自动执行，帮助攻击者实现持久化控制，为后续攻击埋下隐患。

谷歌监测数据还表明，除了 RomCom，APT44、Turla 等多个具备强大攻击能力的黑客组织，也在积极利用该漏洞开展行动：RomCom（又称 UNC4895）通过鱼叉式钓鱼，针对军事单位投放 Snipbot 恶意软件；APT44 与 Turla 则借助诱饵文件，分发下载器与完整的恶意软件套件。

与此同时，以牟利为目的的网络犯罪分子也借机作乱，利用该漏洞传播 XWorm、AsyncRAT 等远程访问工具与银行窃密插件，甚至部署由 Telegram 机器人操控的后门程序，窃取用户隐私、控制受害设备，实施各类网络违法活动。

本资讯来自互联网，如有侵权请联系删除。