WinRAR sotto attacco: CVE-2025-8088 sfruttata per campagne di ingegneria sociale

La CVE-2025-8088 (CVSS 8.4) è una vulnerabilità critica di path traversal [CWE-35] che interessa la versione 7.12 e precedenti di WinRAR nonché relativi componenti come UnRAR.dll. Questa falla di sicurezza consente ad aggressori non autorizzati di copiare file dannosi in cartelle di sistema sensibili, ad esempio la cartella di avvio di Windows, dove i file possono essere eseguiti automaticamente. Secondo ESET Research, lo sfruttamento diretto della vulnerabilità WinRAR CVE-2025-8088 ha avuto inizio il 18 luglio 2025 e i primi attacchi sono stati attribuiti al gruppo APT russo RomCom. Da allora, diversi report di intelligence hanno segnalato che sul dark web un exploit funzionante della vulnerabilità è stato offerto in vendita a un prezzo di 80.000 $.

RARLAB ha reso disponibili sia le note di release che le versioni patchate di WinRAR e del relativo codice sorgente e raccomanda agli utenti di aggiornare immediatamente all’ultima versione. La CVE-2025-8088 riguarda solo le versioni Windows. Grazie all’ENTERPRISE FEED di Greenbone, OPENVAS SECURITY INTELLIGENCE può aiutare il tuo team di sicurezza nell’individuare le versioni vulnerabili di WinRAR all’interno della rete aziendale. Nel nostro threat report di maggio 2025 abbiamo segnalato che gruppi di attacco sponsorizzati dallo Stato russo stanno sfruttando un’altra vulnerabilità di WinRAR, la CVE-2023-38831 (CVSS 7.8) mediante campagne ransomware mirate. Oggi analizziamo l’offensiva più recente nei confronti di WinRAR.

Un riepilogo delle tattiche e tecniche di RomCom

RomCom (noto anche come Storm-0978, Tropical Scorpius e UNC2596) è un gruppo di minaccia legato alla Russia, conosciuto per aver sviluppato un proprio malware, il RomCom RAT al fine di condurre attacchi ransomware altamente sofisticati, motivati da obiettivi finanziari, oltre a campagne di spionaggio [1][2][3][4]. Le loro operazioni sfruttano molteplici vettori di attacco, tra cui spear phishing, installatori di software trojan e lo sfruttamento di vulnerabilità ad alto impatto, quali CVE-2023-36884 (CVSS 7.5) in Microsoft Word, CVE-2024-9680 (CVSS 9.8) in Firefox, CVE-2024-49039 (CVSS 8.8) in Windows Task Scheduler e molte altre. Secondo ESET, le recenti campagne di spear phishing di RomCom allegano alle e-mail archivi RAR compromessi e prendono di mira aziende dei settori finanziario, manifatturiero, della difesa e della logistica, in particolare in Europa e in Canada.

Comprendere la catena di attacco di CVE-2025-8088

Le campagne che sfruttano la CVE-2025-8088 adottano un procedimento di attacco a più fasi, utilizzando archivi RAR infetti per introdurre ed eseguire malware sui sistemi delle vittime. Di seguito, una panoramica delle fasi individuate da ESET Research:

• Consegna via spear phishing: le vittime ricevono e-mail fraudolente contenenti archivi RAR appositamente creati [T1204.002], progettati per sfruttare la CVE-2025-8088 una volta estratti. A un primo sguardo, l’archivio sembra contenere solo uno o due file, ma in realtà include flussi di dati alternativi (Alternate Data Streams – ADS) con contenuti malevoli. Nel file system NTFS, gli ADS consentono di memorizzare dati aggiuntivi in un flusso separato collegato a un file, senza che questi compaiano nei normali elenchi di directory.
• Exploit di path traversal: i payload nascosti negli ADS utilizzano sequenze di caratteri ..\ per il path traversal durante l’estrazione, così da installare file DLL o EXE malevoli in directory sensibili come %TEMP%, %LOCALAPPDATA% e la cartella di avvio di Windows.
• Distribuzione del payload: dopo che il payload è stato estratto in directory sensibili, un file di collegamento .lnk viene copiato nella cartella di avvio di Windows per garantire la persistenza [T1547]. Sebbene di default WinRAR non disponga di privilegi elevati, la cartella di avvio di Windows è scrivibile dall’utente e consente l’esecuzione automatica del payload malevolo al successivo login.
• Azioni sugli obiettivi: dopo lo sfruttamento iniziale, sono stati osservati diversi payload malevoli per il comando e controllo (C2), tra cui:
  • Uso di COM hijacking [T1546.015] per eseguire una DLL dannosa (Mythic Agent) indirizzata ai domini Active Directory (AD).
  • Uso di un eseguibile PuTTY CAC trojanizzato (SnipBot), che esegue controlli anti-sandbox [T1497] prima di scaricare payload aggiuntivi [T1105]. PuTTY CAC è una versione modificata del popolare client SSH/Telnet PuTTY, con supporto per autenticazione tramite smart card e certificati.
  • Uso di un downloader scritto in Rust (RustyClaw) utilizzato per distribuire il loader MeltingClaw, impiegato per importare ulteriori malware [T1105].

Mitigazione del rischio CVE-2025-8088

Gli utenti WinRAR di Windows devono aggiornare alla versione WinRAR 7.13 Final, rilasciata il 30 luglio 2025. L’aggiornamento corregge l’applicazione desktop WinRAR, il codice sorgente portatile UnRAR e i componenti UnRAR.dll. Le aziende dovrebbero anche aggiornare qualsiasi software che dipende da UnRAR.dll alla versione 7.13 Final. In ambienti complessi, è necessario eseguire scansioni approfondite delle vulnerabilità per garantire che tutte le istanze interessate siano aggiornate e verificare lo stato delle patch anche dopo la loro installazione.

Ulteriori misure di sicurezza:

• Utilizzare software antivirus aggiornati per analizzare i file in arrivo e rilevare eventuali malware
• Applicare autorizzazioni di directory restrittive per impedire l’estrazione di archivi in cartelle sensibili
• Sensibilizzare gli utenti ed educare il personale a riconoscere e gestire gli attacchi di spear phishing.
• Implementare sistemi di scansione per indicatori di compromissione (IoC) per individuare possibili violazioni
• Configurare soluzioni EDR per ricevere notifiche in caso di modifiche sospette alla cartella di avvio di Windows

Conclusione

Il gruppo APT RomCom sfrutta attivamente la vulnerabilità di path traversal di WinRAR CVE-2025-8088 (CVSS 8.4). Gli attacchi vengono sferrato tramite e-mail di spear phishing contenenti archivi RAR dannosi, progettati per distribuire malware direttamente sul computer della vittima. La versione aggiornata, WinRAR 7.13 Final, presenta patch urgenti per tutti i componenti Windows interessati, tra cui l’applicazione desktop, il codice sorgente UnRAR portatile e UnRAR.dll. Si raccomanda agli utenti di installarla immediatamente. Grazie a OPENVAS SECURITY INTELLIGENCE, i team di sicurezza possono utilizzare i test di rilevamento inclusi nell’ENTERPRISE FEED per scansionare l’infrastruttura, individuare le installazioni di WinRAR vulnerabili e applicare le patch necessarie.