文件压缩软件WinRAR近日曝出新漏洞,可能导致Windows电脑被植入后门恶意程序。该零日漏洞由ESET安全研究人员发现并追踪为CVE-2025-8088,据称正被俄罗斯背景的黑客组织RomCom积极利用。
该漏洞被归类为目录遍历缺陷,允许恶意压缩包将文件放置在攻击者指定的位置。通过此漏洞,威胁分子可将可执行文件植入以下自启动目录:
用户级路径:%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
系统级路径:%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp
这使得植入的恶意文件能在系统下次启动时自动运行,为攻击者提供远程代码执行通道。
ESET研究人员安东·切列帕诺夫(Anton Cherepanov)、彼得·科希纳尔(Peter Košinár)和彼得·斯特里切克(Peter Strýček)向Bleeping Computer透露,他们观察到钓鱼邮件通过携带RAR附件传播RomCom后门程序。
该组织别称Storm-0978、Tropical Scorpius、Void Rabisu或UNC2596,是具备网络犯罪与间谍双重属性的俄罗斯关联黑客团体。自2022年年中活跃以来,其主要针对乌克兰政府、军队、能源及水务基础设施,现已将攻击范围扩展至美国、欧洲及国际社会涉及乌克兰人道主义援助的机构。
漏洞已获官方确认并修复,用户需手动更新至WinRAR 7.13版本。据更新日志显示,此前版本在解压特制压缩包时,会错误采用压缩包内预设路径而非用户指定路径。值得注意的是,Unix版RAR、Android版RAR及相关组件不受此漏洞影响。
此事件令人联想到2025年6月由安全研究员“whs3-detonator”通过Trend Micro零日计划报告的CVE-2025-6218高危漏洞,该漏洞同样源于WinRAR对压缩包路径的异常处理机制。
