- La falla CVE-2025-8088 in WinRAR è sfruttata da gruppi criminali e attori statali.
- Gli aggressori utilizzano la funzione ADS (Alternate Data Streams) per distribuire malware tramite archivi malevoli.
- Si sollecitano gli utenti ad aggiornare WinRAR alla versione 7.13 o successive per protezione.
L'iconico programma di archiviazione per Windows, WinRAR, contiene una vulnerabilità di alto livello che consente ai malintenzionati di eseguire codice arbitrario sui dispositivi compromessi. Secondo i ricercatori di sicurezza, il bug è attualmente sfruttato da numerosi gruppi di hacker, sia filogovernativi che indipendenti.
La falla in questione è descritta come un difetto di "path traversal" (attraversamento di percorsi) e riguarda le versioni 7.12 e precedenti. Identificata come CVE-2025-8088, ha ricevuto un punteggio di gravità di 8.4/10 (alto).
Per mettere in sicurezza i propri sistemi e prevenire intrusioni da parte di hacker, gli esperti di sicurezza consigliano di aggiornare il programma alla versione 7.13 o successive.
Sfruttata come zero-day
Ora, BleepingComputer riferisce che diverse società di sicurezza hanno lanciato l'allarme sull'impiego di questa falla da parte di numerosi collettivi hacker nei loro attacchi.
Tra questi figura RomCom, gruppo vicino alla Russia, che l'ha utilizzata per distribuire NESTPACKER contro unità militari ucraine. Altre menzioni di rilievo includono APT44 e Turla (anch'essi attivi contro l'esercito ucraino), Carpathian e vari attori sponsorizzati dallo stato cinese, che l'avrebbero sfruttata per installare il malware POISONIVY.
Il Threat Intelligence Group (GTIG) di Google, la divisione di cybersicurezza che monitora principalmente gli attacchi di matrice statale, ha dichiarato che i primi segni di abuso risalgono a metà luglio 2025. Da allora, gli hacker hanno utilizzato la funzione Alternate Data Streams (ADS) di WinRAR per scrivere malware in percorsi arbitrari sui dispositivi bersaglio.
"Mentre l'utente visualizza solitamente un documento civetta all'interno dell'archivio, come un PDF, sono presenti anche voci ADS malevole: alcune contengono un payload nascosto, mentre altre sono dati fittizi", ha spiegato Google.
È stato chiarito che, quando la vittima apre l'archivio, il programma estrae il payload ADS sfruttando l'attraversamento delle directory (directory traversal).
Oltre agli attori statali, anche gruppi mossi da finalità economiche stanno sfruttando questo bug per diffondere infostealer come XWorm o AsyncRAT.
WinRAR non supporta gli aggiornamenti automatici, ma non è necessario disinstallare il programma prima di eseguire la nuova versione: l'installazione avverrà sovrascrivendo quella esistente.