WinRAR (CVE-2025-8088)
CVE-2025-8088 是 Windows 版 WinRAR 的高风险路径穿越漏洞(CWE-35),CVSS 评分 8.4,影响 7.12 及以下版本,被 APT 与网络犯罪组织作为零日漏洞在野外利用,核心是通过 NTFS 交替数据流(ADS)+ 路径穿越写入恶意文件到系统敏感目录(如启动文件夹),实现代码执行与持久化NVD。
| 项目 | 详情 |
|---|---|
| 漏洞类型 | 路径穿越(目录遍历)+ 代码执行 |
| CVSS 评分 | 8.4(高危) |
| 影响版本 | WinRAR ≤7.12(Windows)、UnRAR.dll 及便携版 UnRAR 源码 |
| 修复版本 | WinRAR 7.13(2025-07-30 发布) |
| 发现与披露 | ESET(2025-08-12),野外利用始于 2025-07-18 |
| 利用主体 | RomCom(UNC4895)、Paper Werewolf 等 APT 与勒索软件团伙 |
- 漏洞成因:解压时未正确过滤路径穿越字符(如../),且对 NTFS 交替数据流(ADS)处理存在缺陷,导致恶意文件可被写入任意目录。
- 攻击流程
- 构造恶意 RAR:将恶意脚本 / 快捷方式(.bat/.lnk/.hta 等)作为 ADS 附加到诱饵文件(如 PDF / 文档),并嵌入../ 路径穿越字符,指向启动目录等敏感位置。
- 诱导解压:通过钓鱼邮件分发,用户打开诱饵文件时,WinRAR 在后台静默提取 ADS 中的恶意文件到目标目录。
- 自动执行:恶意文件随系统启动 / 用户登录自动运行,植入后门或勒索软件。
- 立即更新:升级至 WinRAR 7.13+,覆盖桌面端、UnRAR.dll 及便携版 UnRAR 源码。
- 安全解压:不直接双击压缩包内文件;解压前用安全软件扫描;优先解压到非系统盘的隔离目录;禁用 NTFS ADS(命令:fsutil behavior set disable8dot3 1)。
- 权限控制:限制普通用户写入系统目录(如 Startup、System32)的权限,降低攻击影响面。
- 威胁狩猎:监控启动目录、用户临时目录的异常文件(尤其是 ADS);排查 2025-07-18 后收到的可疑 RAR / 邮件附件。
- 利用门槛低、隐蔽性强:ADS 可隐藏恶意数据,传统安全工具易漏检;无需用户执行恶意文件,双击诱饵即可触发。
- 与 CVE-2025-6218(7.11 漏洞)同源:均为路径穿越类,8088 是 7.12 的后续漏洞,修复需覆盖全版本链。
- 合规要求:CISA 已将其列入已知被利用漏洞目录,要求 2025-09-02 前完成修复CISA。
- 检查 WinRAR 版本:WinRAR → 帮助 → 关于 WinRAR,低于 7.13 需升级。
- 扫描敏感目录:C:\Users <用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup、C:\Windows\System32 等,删除未知.bat/.lnk/.hta。
- 审计 ADS:用 dir /r 查看文件流,删除异常 ADS(命令:del 文件名:流名)。