A vulnerabilidade CVE-2025-8088 permite que arquivos RAR maliciosos gravem artefatos na pasta de inicialização do Windows, abrindo caminho para execução de código e entrega de RATs, ladrões de informação e cargas ligadas a espionagem.
| Componente | RARLAB WinRAR em versões vulneráveis anteriores à correção entregue no WinRAR 7.13. |
| Vetor | Arquivo RAR malicioso aberto pelo usuário em uma versão vulnerável, explorando travessia de caminho para gravar arquivos em locais sensíveis como a pasta de inicialização do Windows. |
| Impacto | Execução arbitrária de código e persistência após novo login ou reinicialização, com entrega observada de SnipBot, Poison Ivy, AsyncRAT, XWorm, backdoors controlados por bot no Telegram e extensão maliciosa para Chrome. |
| Prioridade | Atualizar o WinRAR para a versão 7.13 ou superior, revisar arquivos extraídos recentemente e caçar artefatos suspeitos em pastas de inicialização, fluxos alternativos de dados e atalhos LNK. |
| Versões | A correção para CVE-2025-8088 foi lançada no WinRAR 7.13 em 30 de julho de 2025. |
| Artefatos | Cadeias observadas usam arquivos de disfarce, atalhos LNK, fluxos alternativos de dados ADS, scripts em lote, HTA e artefatos gravados na inicialização do Windows. |
A vulnerabilidade CVE-2025-8088 no RARLAB WinRAR está sendo explorada em operações distintas por grupos de espionagem e por agentes financeiramente motivados. A falha, classificada com CVSS 8.8 no material analisado, foi corrigida no WinRAR 7.13 em 30 de julho de 2025, mas continuou sendo usada como vulnerabilidade de dia n após a disponibilização do patch. O ponto central do problema é uma travessia de caminho durante o processamento de arquivos RAR, permitindo que um arquivo especialmente criado extraia conteúdo para um caminho escolhido pelo invasor, em vez de limitar a gravação ao diretório esperado pelo usuário.
O impacto técnico confirmado é execução arbitrária de código quando a vítima abre o arquivo malicioso em uma versão vulnerável. Em várias cadeias descritas, o atacante usa esse comportamento para gravar artefatos na pasta de inicialização do Windows. Esse posicionamento transforma a abertura do arquivo compactado em uma etapa de preparação de persistência: após reinicialização ou novo login, o artefato colocado no local de inicialização pode ser executado automaticamente. A exploração foi associada a cargas variadas, incluindo SnipBot, Poison Ivy, AsyncRAT, XWorm, backdoors controlados por bot no Telegram e uma extensão maliciosa para Chrome voltada ao roubo de credenciais em páginas de bancos brasileiros.
O caso também mostra a diferença operacional entre uma falha corrigida e uma falha efetivamente neutralizada no ambiente. A correção existe desde julho de 2025, mas a exploração continuada indica que estáções de trabalho, ambientes de usuário final e fluxos de recebimento de anexos ainda mantêm versões vulneráveis ou controles insuficientes sobre extração de arquivos. Para defesa, o foco deve combinar atualização do aplicativo, detecção de extrações anômalas, controle de execução em pastas de inicialização e revisão de telemetria de endpoint para artefatos criados logo após abertura de arquivos RAR.
A exploração observada depende de interação do usuário com um arquivo RAR manipulado. O arquivo compactado pode conter um item de disfarce e esconder o componente malicioso em fluxos alternativos de dados, conhecidos como ADS, associados a um arquivo de aparência legítima dentro do pacote. Em vez de apenas extrair o conteúdo para uma pasta comum, a falha permite que a cadeia coloque um artefato em um caminho específico do Windows, com destaque para a pasta de inicialização do perfil do usuário. Esse detalhe reduz a necessidade de uma técnica de persistência mais complexa, porque o próprio mecanismo do sistema operacional pode executar o artefato no próximo ciclo de sessão.
Em campanhas atribuídas no contexto a RomCom, também rastreado como CIGAR ou UNC4895, a falha foi explorada ainda em 18 de julho de 2025, antes da correção pública, para entregar uma variante do SnipBot, também conhecido como NESTPACKER. O mesmo conjunto de informações relaciona RomCom RAT, Cuba Ransomware e clusters acompanhados como UNC2596 e UNC4895, além de citar possíveis conexões com o marketplace de extorsão Industrial Spy. Esses vínculos indicam sobreposição de ferramentas, operadores ou ecossistema, mas não devem ser tratados como prova única de atribuição entre todos os incidentes.
Outros atores também adaptaram a falha a seus próprios objetivos. Sandworm, também citado como APT44 e FROZENBARENTS, teria usado um arquivo de disfarce com nome ucraniano e um LNK malicioso que tenta buscar etapas adicionais. Gamaredon, também chamado CARPATHIAN, teria direcionado arquivos RAR maliciosos contra agências governamentais ucranianas, contendo arquivos HTA usados como downloader de segundo estágio. Turla, também chamado SUMMIT, teria usado iscas relacionadas a atividades militares ucranianas e operações com drones para entregar a suíte STOCKSTAY. Separadamente, um ator baseado na China foi observado usando a falha para entregar Poison Ivy por meio de um script em lote gravado na pasta de inicialização, configurado para obter um dropper.
A exploração por criminosos financeiramente motivados ampliou o conjunto de cargas. O contexto cita RATs de commodity, ladrões de informação, backdoors controlados por bot no Telegram e famílias como AsyncRAT e XWorm. Em outro caso, um grupo voltado a usuários brasileiros por meio de sites bancários entregou uma extensão maliciosa para Chrome capaz de injetar JavaScript em páginas de dois bancos brasileiros, com objetivo de apresentar conteúdo de phishing e capturar credenciais. A cadeia, portanto, não é limitada a espionagem estatal: o mesmo primitivo de gravação fora do caminho esperado passou a servir como acesso inicial para cargas de espionagem, fraude, controle remoto e roubo de informação.
A superfície mais exposta envolve estáções Windows onde usuários abrem arquivos RAR com uma versão vulnerável do WinRAR. O risco é maior em áreas que recebem anexos, documentos compactados, materiais de fornecedores, arquivos de recrutamento, iscas temáticas, pacotes compartilhados por mensageria ou itens baixados de portais externos. O componente explorado é o manipulador de arquivos RAR do WinRAR, mas o impacto se materializa no sistema operacional quando a extração grava artefatos em caminhos sensíveis do perfil do usuário.
A exploração não exige, pelo material analisado, privilégio administrativo como pré-condição explícita. A eficácia depende de o arquivo ser processado por uma versão afetada e de o artefato conseguir ser gravado em uma área de inicialização acessível ao usuário. Isso torna controles de aplicação, bloqueio de execução em diretórios de usuário e políticas de anexos tão importantes quanto a atualização do software. Também amplia o risco em ambientes onde ferramentas auxiliares como compactadores ficam fora do ciclo formal de gestão de patches.
- Estáções Windows com WinRAR vulnerável usado para abrir arquivos RAR recebidos de fontes externas.
- Perfis de usuário nos quais a pasta de inicialização permite gravação de artefatos pelo usuário corrente.
- Ambientes com baixa inspeção de arquivos compactados, atalhos LNK, HTA, scripts em lote e extensões de navegador.
- Organizações com exposição a iscas relacionadas à Ucrânia, atividades governamentais, bancos brasileiros ou anexos comerciais genéricos.
A caça deve começar pela correlação entre abertura ou extração de arquivos RAR e criação de arquivos em locais de inicialização do Windows. Eventos de criação de LNK, HTA, scripts em lote ou executáveis em pastas de inicialização logo após atividade do WinRAR são sinais fortes para investigação. A presença de ADS em arquivos recém-extraídos também merece atenção, especialmente quando o arquivo de disfarce aparenta ser um documento comum, mas mantém conteúdo oculto associado. A defesa deve tratar esse padrão como tentativa de persistência e não apenas como anomalia de compactação.
No endpoint, vale revisar árvores de processo em que WinRAR ou processos acionados por arquivos extraídos precedem execução posterior no login. Relações entre atalhos LNK, downloaders, scripts em lote e processos de navegador podem indicar continuação da cadeia. Para casos ligados a extensão maliciosa do Chrome, a telemetria deve cobrir instalação ou alteração de extensões, permissões incomuns, injeção de JavaScript em páginas bancárias e comunicação de componentes recém-instalados. Em campanhas com RATs e ladrões de informação, sinais de execução de AsyncRAT, XWorm, Poison Ivy, SnipBot ou backdoors controlados via Telegram devem ser contextualizados com o evento inicial de extração.
Na rede, o objetivo não é publicar listas extensas de indicadores, mas identificar padrões de comunicação posteriores ao acesso inicial: conexões iniciadas por binários recém-criados em diretórios de usuário, tráfego de download logo após execução de scripts, comunicação de RATs conhecidos e atividade de extensões de navegador fora do comportamento esperado. Em ambientes com EDR, a sequência temporal é decisiva: arquivo compactado aberto, escrita em inicialização, reinicialização ou novo login, execução automática e tentativa de baixar ou iniciar a próxima etapa.
- Criação de LNK, HTA, scripts em lote ou executáveis em pastas de inicialização após abertura de RAR.
- Arquivos extraídos com fluxos alternativos de dados ADS associados a itens de disfarce.
- Execução automática de artefatos no login seguinte, especialmente a partir de diretórios do perfil do usuário.
- Instalação ou alteração de extensão do Chrome com capacidade de injetar JavaScript em páginas bancárias.
- Processos recém-criados iniciando comunicação externa, download de dropper ou controle remoto por RAT.
A medida principal é atualizar o WinRAR para a versão 7.13 ou superior em todos os sistemas onde o aplicativo esteja instalado. A correção isolada, porém, não remove artefatos já gravados por explorações anteriores. Por isso, a resposta deve incluir inventário de versões, busca por instalações fora do padrão, revisão de estáções que processaram arquivos RAR suspeitos desde julho de 2025 e análise de persistência em pastas de inicialização. A presença de artefatos nessas áreas deve ser tratada como possível compromisso de endpoint até que a cadeia seja descartada por evidência.
Controles preventivos devem reduzir a capacidade de arquivos compactados gravarem ou executarem conteúdo em locais sensíveis. Políticas de restrição de software, controle de aplicação, bloqueio de execução em diretórios de usuário, inspeção de anexos e regras de EDR para criação de artefatos em inicialização ajudam a conter o abuso mesmo quando um usuário abre um arquivo malicioso. Para navegadores, organizações que administram Chrome devem revisar extensões permitidas, permissões concedidas e instalações recentes que coincidam com alertas de endpoint.
A contenção de casos suspeitos deve preservar evidências de processo, artefatos extraídos, conteúdo da pasta de inicialização, registros de criação de arquivos, histórico de extensões e comunicações de rede associadas. Em seguida, deve-se remover a persistência, revogar sessões e credenciais potencialmente expostas, principalmente quando a carga envolver ladrão de informação ou phishing bancário, e validar que não há downloaders ou RATs remanescentes. A investigação também deve verificar se a exploração foi apenas tentativa bloqueada ou se houve execução efetiva após reinicialização ou novo login.
- Atualizar o WinRAR para 7.13 ou superior e confirmar a versão instalada por inventário centralizado.
- Procurar artefatos criados em pastas de inicialização após extração de arquivos RAR.
- Bloquear ou alertar criação de LNK, HTA, scripts em lote e executáveis em caminhos de persistência do usuário.
- Revisar extensões do Chrome instaladas recentemente e remover itens não aprovados com permissões sensíveis.
- Correlacionar alertas de RATs, ladrões de informação e downloaders com eventos prévios de abertura de arquivos RAR.
0 Comentários