ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom

ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้

จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์

อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้

โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้

เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.

กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days สองรายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ

ช่องโหว่แรก (CVE-2024-9680) เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้ (more…)

Trend Micro เปิดเผยการค้นพบแคมเปญการโจมตีใหม่ของมัลแวร์ RomCom ที่ได้ทำการปลอมแปลงเป็นเว็บไซต์ของซอฟต์แวร์ยอดนิยม เพื่อหลอกให้เหยื่อทำการดาวน์โหลด และติดตั้งโปรแกรมที่เป็นอันตราย (more…)