Tuần trước, WinRAR phiên bản 7.13 đã được phát hành, khắc phục lỗ hổng leo thang thư mục (directory traversal), đang được theo dõi dưới mã định danh CVE-2025-8088. Nhờ các nhà nghiên cứu từ ESET, giờ đây chúng ta có thêm chi tiết về cách khai thác lỗ hổng này, đặc biệt trong bối cảnh một số tổ chức hacker đang tích cực lợi dụng để thực thiện hành vi độc hại.
Cụ thể, lỗ hổng này nằm trong thư viện cốt lõi UNRAR.dll, chịu trách nhiệm giải nén tập tin. Hacker tạo ra một file nén độc hại có thể “lừa” phần mềm ghi file ra vị trí do chúng chọn thay vì thư mục mà người dùng chỉ định.
Khi giải nén, các phiên bản WinRAR trước đó, các bản WinRAR trên Windows, UnRAR, mã nguồn UnRAR portable và UnRAR.dll có thể bị đánh lừa dùng đường dẫn được định nghĩa trong file nén đặc biệt thay vì đường dẫn do người dùng chọn.
Theo các chuyên gia Anton Cherepanov, Peter Košinár và Peter Strýček của ESET, kẻ tấn công lợi dụng lỗ hổng này để chèn payload vào những vị trí nhạy cảm trong hệ thống như thư mục Startup. Khi đặt một file thực thi vào %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, mã độc sẽ tự động chạy khi người dùng đăng nhập, cho phép hacker thực thi mã từ xa trên máy bị xâm nhập.
Nhóm đứng sau các cuộc tấn công này được cho là “RomCom crew”. Phần mềm độc hại RomCom là một loại Remote Access Trojan (RAT) đã hoạt động từ ít nhất năm 2022. Mã độc này có hành vi lừa người dùng qua các chiêu thức xã hội (social engineering), thậm chí giả mạo các trang web phần mềm nổi tiếng như KeePass để khi nạn nhân tải về bộ cài RAT. Nhóm hack cơ này này chủ yếu nhắm vào các quốc gia như Ukraine và một số thành viên NATO.
Đây không phải lần đầu WinRAR gặp phải vấn đề bảo mật nghiêm trọng trong năm nay. Trước đó, phiên bản 7.12 đã vá một lỗ hổng tương tự (CVE-2025-6218) ảnh hưởng tới WinRAR 7.11 và các phiên bản cũ hơn.
Theo Bleeping Computer, WinRAR không có cơ chế cập nhật tự động tích hợp, nên người dùng phải chủ động truy cập trang chính thức để tải và cài phiên bản 7.13 nhằm đảm bảo an toàn. Phía WinRAR cũng khẳng định các phiên bản RAR và UnRAR trên Unix cùng với RAR cho Android sẽ không bị ảnh hưởng.