ثغرة خطيرة في WinRAR تُستغل لنشر برمجيات خبيثة

أصدرت شركة WinRAR تحديثًا أمنيًا عاجلًا لمعالجة ثغرة شديدة الخطورة تحمل الرمز CVE-2025-8088، بعد أن كشفت الأبحاث الأمنية عن استغلالها في هجمات "زيرو داي" هدفت إلى نشر برمجية RomCom الخبيثة. وتُمكّن هذه الثغرة القراصنة من تنفيذ هجمات تصيّد متقدمة، تسمح بتحميل وتشغيل ملفات ضارة على أجهزة الضحايا دون علمهم، ما يزيد من خطورة الموقف على المستخدمين حول العالم.

تفاصيل الثغرة

تتمثل الثغرة في اجتياز المسار (Directory Traversal)، وهي نقطة ضعف تم إصلاحها في الإصدار WinRAR 7.13، حيث كانت تتيح للأرشيفات المصممة خصيصًا استخراج ملفات في مسار يحدده المهاجم بدلًا من المسار الافتراضي الذي يختاره المستخدم، ما يفتح المجال أمام تنفيذ عمليات خبيثة بمجرد فك ضغط الملف.

ووفقًا لسجل التغييرات في الإصدار الجديد، فإن إصدارات ويندوز من WinRAR وRAR وUnRAR، بما في ذلك المكتبات البرمجية، كانت قابلة للاستغلال عبر خداع النظام لاستخدام المسار المضمّن داخل الأرشيف بدلًا من المسار الذي يحدده المستخدم، في المقابل، لم تتأثر إصدارات Unix وAndroid بهذه الثغرة الأمنية.

آلية الاستغلال

يستطيع المهاجمون تصميم ملفات RAR تقوم باستخراج ملفات تنفيذية إلى مجلدات بدء التشغيل في ويندوز، مثل:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (للمستخدم المحلي)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (على مستوى الجهاز)

وعند إعادة تسجيل دخول المستخدم، يتم تشغيل الملف الخبيث تلقائيًا، ما يمنح المهاجم إمكانية تنفيذ أوامر عن بُعد، والسيطرة الكاملة على الجهاز المستهدف، وهي آلية استغلال شديدة الخطورة في بيئات العمل والمؤسسات.

هجمات نشطة

أوضح باحثو ESET، ومن بينهم Anton Cherepanov وPeter Košinár وPeter Strýček، أن هذه الثغرة استُغلت بالفعل في حملات تصيّد موجهة (Spearphishing)، حيث أُرسلت رسائل بريد إلكتروني تحتوي على ملفات RAR خبيثة، تستغل الثغرة لتنزيل وتشغيل برمجيات RomCom.

وترتبط هذه البرمجية بمجموعة قرصنة روسية تُعرف بأسماء متعددة، من بينها: Storm-0978 وTropical Scorpius وUNC2596، وهي مجموعة متورطة في هجمات فدية، وسرقة بيانات، وعمليات ابتزاز، مع سجل حافل باستخدام ثغرات “زيرو داي” وتطوير أدوات خبيثة مخصصة.

توصيات الحماية

نظرًا لأن برنامج WinRAR لا يوفر ميزة التحديث التلقائي، أوصت الشركة جميع المستخدمين بضرورة تحميل الإصدار الأخير 7.13 يدويًا من الموقع الرسمي win-rar.com، لتجنب التعرض للاستغلال، مؤكدة أن سرعة التحديث تمثل خط الدفاع الأول ضد هذه الهجمات، خاصة مع استمرار المهاجمين في استغلال الثغرة بشكل نشط.

كما شدد خبراء الأمن السيبراني على أهمية توخي الحذر عند التعامل مع الملفات المرفقة في رسائل البريد الإلكتروني، حتى وإن بدت من مصادر موثوقة، مؤكدين أن الهجمات الموجهة غالبًا ما تتنكر في شكل مستندات أو أرشيفات ذات طابع رسمي لإقناع الضحية بفتحها.