أصدرت شركة WinRAR تحديثًا أمنيًا عاجلًا لمعالجة ثغرة أمنية خطيرة تحمل الرقم CVE-2025-8088، والتي استغلها قراصنة في هجمات تصيّد لتنزيل وتشغيل برمجية RomCom الخبيثة.
تفاصيل الثغرة
الثغرة عبارة عن ثغرة اجتياز للمسار (Directory Traversal) تم إصلاحها في الإصدار WinRAR 7.13. كانت تسمح للأرشيفات المصممة خصيصًا باستخراج ملفات في مسار يحدده المهاجم بدلًا من المسار الذي يختاره المستخدم.
بحسب سجل التغييرات في الإصدار الجديد:
“إصدارات ويندوز من WinRAR وRAR وUnRAR، بما في ذلك المكتبات البرمجية، يمكن خداعها لاستخدام مسار مضمّن في الأرشيف بدلًا من المسار الذي يحدده المستخدم.”
إصدارات Unix وAndroid من WinRAR لم تتأثر بهذه الثغرة.
كيف يستغل المهاجمون الثغرة؟
يمكن للمهاجمين تصميم ملفات RAR تقوم باستخراج ملفات تنفيذية إلى مجلدات بدء التشغيل في ويندوز، مثل:
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (للمستخدم المحلي)
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (على مستوى الجهاز)
عند تسجيل دخول المستخدم مرة أخرى، يتم تشغيل الملف الخبيث تلقائيًا، ما يمنح المهاجم قدرة على تنفيذ أوامر عن بُعد.
هجمات نشطة باستخدام RomCom
كشف باحثو ESET، ومن بينهم Anton Cherepanov وPeter Košinár وPeter Strýček، أن الثغرة استُغلت فعليًا في حملات تصيّد موجهة (Spearphishing).
تضمنت هذه الهجمات رسائل بريد إلكتروني مرفقة بملفات RAR تستغل الثغرة لتنزيل برمجيات RomCom، وهي أداة اختراق مرتبطة بمجموعة قرصنة روسية تعرف أيضًا باسم:
- Storm-0978
- Tropical Scorpius
- UNC2596
هذه المجموعة متورطة في هجمات فدية وسرقة بيانات وعمليات ابتزاز، وتشتهر باستخدام ثغرات “زيرو داي” وتطوير برمجيات خبيثة مخصصة.
توصيات الأمان
نظرًا لأن WinRAR لا يحتوي على ميزة التحديث التلقائي، توصي الشركة جميع المستخدمين بتحميل الإصدار الأخير 7.13 يدويًا من موقع win-rar.com لتجنب التعرض للاستغلال.
ابدأ المناقشة في forum.mjbtechtips.com