WinRAR’daki sıfırıncı gün açığı, RomCom zararlı yazılımını yüklemek için hedefli saldırılarda kullanıldı
CVE-2025-8088 olarak izlenen ve WinRAR 7.13 sürümüyle giderilen dizin geçişi açığı, oltalama e-postalarıyla dağıtılan özel hazırlanmış RAR arşivleri üzerinden istismar edildi. Açık, saldırganların dosyaları Windows başlangıç klasörüne yerleştirerek uzaktan kod çalıştırmasına imkân tanıyor.
WinRAR’ın Windows sürümlerinde tespit edilen CVE-2025-8088 güvenlik açığının, yamalanmadan önce hedefli oltalama saldırılarında aktif olarak kullanıldığı ortaya çıktı. ESET araştırmacıları Anton Cherepanov, Peter Košinár ve Peter Strýček tarafından keşfedilen açık, WinRAR 7.13 sürümünde kapatıldı.
Dizin geçişi (directory traversal) hatasından kaynaklanan bu açık, özel hazırlanmış RAR arşivlerinin, kullanıcı tarafından belirtilen dizin yerine saldırganın tanımladığı bir konuma dosya çıkartmasına izin veriyor. Bu yöntemle, zararlı çalıştırılabilir dosyalar Windows’un başlangıç klasörlerine (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup veya %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp) yerleştirilebiliyor. Kullanıcı bir sonraki oturum açtığında, bu dosyalar otomatik olarak çalışarak saldırgana sistem üzerinde uzaktan kod çalıştırma imkânı sağlıyor.
ESET, saldırılarda hedefli oltalama e-postalarıyla gönderilen RAR dosyalarının bu açığı kullanarak RomCom arka kapı zararlı yazılımını yüklediğini belirledi. RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir) Rusya bağlantılı bir tehdit grubu olup fidye yazılımı, veri hırsızlığı ve kimlik bilgisi toplama kampanyalarıyla tanınıyor. Grup daha önce Cuba ve Industrial Spy fidye yazılım operasyonlarıyla ilişkilendirilmişti.
WinRAR otomatik güncelleme özelliği sunmadığından, tüm kullanıcıların win-rar.com adresinden en son sürümü manuel olarak indirmesi öneriliyor. ESET, açığın istismarına dair detaylı bir raporu daha sonra yayımlayacağını açıkladı.
Kaynak: CUMHA - CUMHUR HABER AJANSI
