ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom

ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้

จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์

อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้

โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้

เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.