WinRAR Zero-Day CVE-2025-8088: RomCom & Paper Werewolf Eksploitasi Path Traversal, Patch 7.13 Wajib Segera

Admin September 07, 2025
Admin

Mengapa CVE-2025-8088 Berbahaya

Celah ini memungkinkan arsip RAR berisi Alternate Data Streams (ADSes) menyisipkan path relatif (..\) sehingga saat pengguna mengekstrak, WinRAR/komponen terkait menulis file di luar folder tujuan—termasuk ke Windows Startup—yang kemudian eksekusi otomatis saat login berikutnya. Dampaknya: RCE dengan interaksi pengguna minimal (ekstraksi).

Dalam rantai serangan yang diamati ESET, arsip berisi DLL berbahaya (mis. msedge.dll) ke %TEMP%/%LOCALAPPDATA% dan LNK ke Startup untuk persistensi—sesudah itu dropper memuat Mythic agent, SnipBot, atau RustyClaw. Target: sektor keuangan, manufaktur, pertahanan, logistik di Eropa & Kanada.

Keterkaitan dengan CVE-2025-6218

Beberapa operasi (terutama Paper Werewolf) dilaporkan menggabungkan CVE-2025-8088 dengan CVE-2025-6218—sama-sama directory/path traversal di WinRAR untuk Windows—guna menulis file di luar direktori ekstraksi dan memicu eksekusi (mis. dari Startup). CVE-2025-6218 diungkap Juni 2025 dan dipatch di WinRAR 7.12 (beta → final).

Garis Waktu Singkat 

  • 18–21 Juli 2025: ESET mengamati spear-phishing bertema CV/lamaran kerja; eksploitasi CVE-2025-8088 terjadi di internet.
  • 19 Juni–25 Juni 2025: CVE-2025-6218 dipublikasikan/ditambal (7.12 beta), rentan versi 7.11 ke bawah.
  • 24–30 Juli 2025: ESET laporkan 7.13 beta (24 Juli) dan rilis 7.13 (30 Juli). Rilis final WinRAR 7.13 tercatat 12 Agustus 2025. CISA KEV menambahkan CVE-2025-8088 pada 12 Agustus 2025.
  • 7 Juli 2025: Iklan eksploit WinRAR zero-day seharga $80.000 muncul di Exploit.in; diduga terkait operasi Paper Werewolf.

Dampak Dunia Nyata & Atribusi

  • RomCom: kampanye tertarget, memanfaatkan arsip dengan ADS untuk path traversal, kirim backdoor SnipBot, RustyClaw, Mythic. ESET menyebut tidak ada target yang berhasil dikompromi dalam telemetri mereka, tetapi TTP-nya matang dan berulang.
  • Paper Werewolf (GOFFEE): mengincar organisasi Rusia pada Juli 2025 melalui email phishing dengan arsip yang memicu CVE-2025-6218 dan kemungkinan CVE-2025-8088; payload loader .NET yang mengirim info sistem & mengambil malware lanjutan/reverse shell. 

Cara Cek & Memperbaiki / Menambal (Untuk Pengguna & Admin)

  1. Cek versi: buka WinRAR → Help → About. Jika ≤ 7.12, rentan. Update ke 7.13 (desktop, UnRAR.dll, RAR for Windows, portable UnRAR source) dan pastikan aplikasi lain yang membundel UnRAR.dll ikut diperbarui.
  2. Perbarui kebijakan email: kuarantina .rar dari sumber tak dikenal; ekstrak di sandbox. Pola umpan CV/lamaran kerja sedang dipakai.
  3. Pantau indikator (SOC/Blue Team):
    • Pembuatan .lnk di %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ oleh proses WinRAR.
    • Artefak DLL ke %TEMP%/%LOCALAPPDATA% (contoh msedge.dll).
    • Kaitan ADSes & error path relatif saat ekstraksi (petunjuk upaya traversal).
  4. Blokir persistensi mudah: audit & bersihkan jalur Startup per-user/mesin; kebijakan yang mencegah drop LNK dari proses non-privileged membantu menurunkan risiko (defense-in-depth). (Umum, melengkapi patch).
  5. Catat prioritas: CISA KEV menandai CVE-2025-8088; organisasi yang tunduk pada BOD 22-01 diwajibkan mitigasi cepat.

Bukan Cuma WinRAR: 7-Zip Juga Menambal

7-Zip memperbaiki CVE-2025-55188 (sebelum 25.01): salah menangani symbolic link saat ekstraksi sehingga berpotensi arbitrary file write dan eskalasi ke eksekusi kode; terutama berdampak di Unix, dan di Windows butuh kemampuan membuat symlink (Admin/Developer Mode). Update ke 25.01.
Admin

Share this

Add Comments


EmoticonEmoticon

Langganan: Posting Komentar (Atom)