Redazione RHC : 9 Agosto 2025 14:48
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Directory Traversal ed è stato risolto solo in WinRAR 7.13. il bug permetteva agli aggressori di creare archivi speciali che, una volta decompressi, finivano in una directory specificata dall’aggressore, anziché nella cartella selezionata dall’utente. Questo meccanismo permetteva di aggirare le restrizioni standard e di iniettare codice dannoso in directory critiche di Windows.
A differenza dello scenario usuale, quando la decompressione porta a una posizione predefinita, la vulnerabilità ha permesso di sostituire il percorso per reindirizzare il contenuto alle cartelle di avvio del sistema operativo. Tra queste directory vi sono la cartella di avvio di un utente specifico (%APPDATA%MicrosoftWindowsStart MenuProgramsStartup) e la cartella di avvio del sistema per tutti gli account (%ProgramData%MicrosoftWindowsStart MenuProgramsStartUp). Al successivo accesso al sistema, qualsiasi file eseguibile inserito tramite la vulnerabilità veniva avviato automaticamente, il che di fatto ha dato all’aggressore la possibilità di eseguire codice da remoto senza l’intervento della vittima.
Il problema riguardava solo le edizioni Windows di WinRAR, RAR, UnRAR, le loro versioni portatili e la libreria UnRAR.dll. Le varianti per piattaforme Unix, Android e i relativi codici sorgente non presentavano questa vulnerabilità.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
La situazione era resa particolarmente pericolosa dal fatto che WinRAR non dispone di una funzione di aggiornamento automatico. Gli utenti che non monitoravano il rilascio di nuove versioni potevano rimanere sotto attacco per mesi senza accorgersene. Gli sviluppatori raccomandano vivamente di scaricare e installare manualmente WinRAR 7.13 dal sito web ufficiale win-rar.com per eliminare la possibilità di sfruttare questo errore.
La vulnerabilità è stata identificata dagli specialisti di ESET Anton Cherepanov, Peter Koszynar e Peter Stricek. Quest’ultimo ha confermato che è stata utilizzata in vere e proprie campagne di phishing per installare il malware RomCom. Gli attacchi consistevano nell’invio di e-mail con allegati archivi RAR contenenti l’exploit CVE-2025-8088.
RomCom è un gruppo noto anche come Storm-0978, Tropical Scorpius o UNC2596. È specializzato in attacchi ransomware, furto di dati, estorsione e furto di credenziali. Utilizza un malware proprietario per persistere nel sistema, rubare informazioni e creare backdoor che forniscono accesso segreto ai dispositivi infetti.
Il gruppo è noto per il suo ampio utilizzo di vulnerabilità zero-day negli attacchi e ha collaborato con altre operazioni ransomware, tra cui Cuba e Industrial Spy. L’attuale campagna che sfrutta una vulnerabilità in WinRAR è solo l’ultimo esempio di come RomCom combini sofisticate tecniche di hacking con l’ingegneria sociale per aggirare le difese e penetrare nelle reti aziendali.
ESET sta già preparando un rapporto dettagliato sull’incidente, che descriverà nei dettagli i metodi di sfruttamento e i dettagli tecnici degli attacchi identificati.
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...
Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
Il cybercrime è sempre da condannare. Che tu colpisca una multinazionale o un piccolo negozio online, resta un crimine. Ma quando prendi di mira ospedali, associazioni senza scopo di lucro, fonda...
Un nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...