Un’importante vulnerabilità zero-day è stata scoperta e sfruttata attivamente sul famoso software di archiviazione file WinRAR. La falla, identificata come CVE-2025-8088 e con un punteggio CVSS di 8.8, riguarda una debolezza di path traversal nella versione Windows del programma. Questa vulnerabilità permetteva a un malintenzionato di eseguire codice arbitrario attraverso archivi malevoli creati ad hoc, aggirando le normali restrizioni sui percorsi di estrazione dei file.

Il team di sviluppo di WinRAR ha rilasciato la versione 7.13, che risolve definitivamente il problema. Il bug era presente in tutte le versioni precedenti, inclusi RAR, UnRAR, UnRAR.dll e il codice sorgente portatile di UnRAR per Windows. In pratica, un file compresso appositamente poteva forzare l'estrazione di dati in directory sensibili, come la cartella di avvio di Windows, ottenendo così l’esecuzione di codice all’avvio successivo del sistema.

Gruppi di attacco e campagne sfruttate

La vulnerabilità è stata scoperta da ricercatori di ESET e subito segnalata agli sviluppatori. Il gruppo Paper Werewolf, noto anche come GOFFEE e legato a interessi russi, avrebbe sfruttato questa e una vulnerabilità simile (CVE-2025-6218) in campagne di phishing rivolte ad aziende russe. Gli attacchi prevedevano l’invio di archivi infetti via email, che una volta aperti installavano malware, tra cui un loader .NET in grado di comunicare con server di comando e controllo, scaricando ulteriori payload malevoli.

Non solo Paper Werewolf, ma anche il gruppo RomCom, anch’esso collegato alla Russia, ha utilizzato la falla come zero-day nelle sue offensive, colpendo settori finanziari, manifatturieri, della difesa e della logistica in Europa e Canada. Le campagne sfruttavano archivi con stream di dati alternativi (Alternate Data Streams) per lanciare malware e ottenere persistenza nel sistema della vittima, installando componenti come SnipBot, Mythic agent e RustyClaw.

Altre vulnerabilità correlate

In parallelo a WinRAR, anche 7-Zip ha corretto una vulnerabilità (CVE-2025-55188) che poteva consentire la scrittura arbitraria di file tramite l’estrazione di archivi contenenti link simbolici, con potenziali rischi di esecuzione di codice non autorizzato.

Vista la gravità e la diffusione degli attacchi, è fondamentale aggiornare immediatamente WinRAR all’ultima versione disponibile (7.13) e prestare massima attenzione agli archivi ricevuti via email, specialmente se provenienti da fonti non verificate.