ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom
ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้
จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์
อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้
โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)
เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้
เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.com เพื่อป้องกันตนเองจากช่องโหว่นี้
Exploited as a zero-day in attacks
ช่องโหว่นี้ถูกพบโดย Anton Cherepanov, Peter Košinár และ Peter Strýček จาก ESET โดย Strýček ให้ข้อมูลกับ BleepingComputer ว่า ช่องโหว่นี้ถูกนำไปใช้จริงในแคมเปญฟิชชิงเพื่อติดตั้งมัลแวร์
Strýček ให้ข้อมูลกับ BleepingComputer ว่า “ESET ตรวจพบอีเมลฟิชชิงแบบเจาะจงเป้าหมาย (spearphishing) ที่แนบไฟล์ RAR มาด้วย”
ไฟล์ archive เหล่านี้ใช้ช่องโหว่ CVE-2025-8088 เพื่อติดตั้งมัลแวร์ RomCom ซึ่งเป็น Backdoor ที่เชื่อมโยงกับกลุ่มที่มีความเกี่ยวข้องกับรัสเซีย
RomCom หรือที่รู้จักกันในชื่ออื่น ๆ เช่น Storm-0978, Tropical Scorpius, หรือ UNC2596 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซียที่พัวพันกับการโจมตีหลากหลายรูปแบบ รวมถึงการโจมตีด้วยแรนซัมแวร์ การขู่กรรโชกข้อมูล และการขโมยข้อมูล Credentials
กลุ่มแฮ็กเกอร์กลุ่มนี้ มีชื่อเสียงในการใช้ประโยชน์จากช่องโหว่ Zero-day เพื่อทำการโจมตี และยังใช้มัลแวร์ที่ออกแบบมาเป็นพิเศษเพื่อขโมยข้อมูล รักษาการเข้าถึงระบบอย่างต่อเนื่อง และทำหน้าที่เป็น Backdoor โดยในอดีต RomCom มีความเชื่อมโยงกับการปฏิบัติการแรนซัมแวร์หลายครั้ง เช่นกรณีของ Cuba และ Industrial Spy
ขณะนี้ ESET กำลังจัดทำรายงานฉบับสมบูรณ์เกี่ยวกับการใช้ประโยชน์จากช่องโหว่นี้ และจะเผยแพร่ในเร็ว ๆ นี้
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.