Vecchio archivio, nuova via di intrusione: il bug di WinRAR continua ad avere peso nelle operazioni focalizzate sull’Ucraina
Una vulnerabilità corretta in un archiviatore di file riemerge in campagne mirate, mostrando come una correzione lenta possa lasciare uno strumento desktop familiare in prima linea nell’intrusione.
Di solito WinRAR non è il luogo in cui i difensori si aspettano di trovare una via di intrusione attiva un anno dopo la correzione. Ma è proprio questo che rende CVE-2025-8088 degna di attenzione: una comune utility per archivi può diventare un canale di distribuzione quando gli aggressori riescono a controllare il posizionamento dei file durante l’estrazione. In questo caso, la preoccupazione non è solo la vulnerabilità in sé, ma la lunga durata di una patch che avrebbe dovuto chiudere la porta mesi fa.
Fatti rapidi
- CVE-2025-8088 è una falla di path traversal di WinRAR che interessa le build per Windows.
- La vulnerabilità è stata corretta in WinRAR 7.13 il 30 luglio 2025.
- Trend Micro attribuisce l’exploit in corso a Earth Dahu e SHADOW-EARTH-066.
- L’attività è descritta come mirata a organizzazioni ucraine e orientata al rilascio di stealer.
- Il NVD registra la falla come sfruttata nel mondo reale, e CISA l’ha inserita nel KEV.
Perché questo bug è importante
Path traversal suona astratto, ma il meccanismo è semplice: se un archivio può uscire dalla cartella di estrazione prevista, un aggressore può essere in grado di posizionare file dove non dovrebbero trovarsi. In un ambiente Windows, questo può essere particolarmente pericoloso quando la destinazione scelta è utile per l’esecuzione successiva o la persistenza. La catena del payload può variare, ma il problema centrale resta lo stesso - una normale azione dell’utente diventa una primitiva di scrittura su file.
Ecco perché i bug negli archivi restano attraenti per gli operatori di intrusione. Non hanno bisogno di una catena di exploit appariscente se è probabile che l’utente apra un file compresso nell’ambito del normale lavoro. Se un archivio malevolo può scrivere al di fuori del percorso previsto, si apre la porta al posizionamento di strumenti, all’inserimento di collegamenti o al rilascio di componenti scriptabili che possono essere usati in seguito da altro malware.
Per questo incidente, il dettaglio tecnico più importante è la cautela: il record pubblico supporta lo sfruttamento e il rilascio di stealer, ma non un resoconto completo di ogni vittima, di ogni payload o di ogni evento di furto a valle. Le informazioni disponibili supportano un’analisi del rischio, non un’affermazione di compromissione universale.
La lezione difensiva nascosta in piena vista
C’è un motivo pratico per cui questo caso continua a riemergere. Le patch non contano finché non vengono distribuite, e le utility desktop spesso restano fuori dai controlli di gestione più rigorosi. Se WinRAR rimane installato su una flotta di endpoint Windows, un singolo aggiornamento mancato può mantenere vivo un vecchio percorso di exploit molto tempo dopo la divulgazione.
Ricerche correlate di vendor hanno anche collegato una precedente attività focalizzata sull’Ucraina proveniente da questi cluster ad allegati di archivi malevoli e al posizionamento nella cartella di avvio. Questo contesto non dimostra la catena esatta usata in ogni campagna, ma mostra perché l’abuso di archivi di file resta operativamente utile: può trasformare un semplice allegato in un punto d’appoggio, e poi in un punto di caricamento per uno stealer o un altro payload.
I difensori dovrebbero trattare gli strumenti di archiviazione come parte della superficie d’attacco. I controlli più diretti sono anche i meno glamour: verificare che la versione di WinRAR sia la 7.13 o successiva, censire le installazioni legacy, monitorare le estrazioni di archivi che creano file al di fuori delle directory previste e generare allarmi quando le utility per archivi avviano processi figli insoliti. L’inclusione nel CISA KEV è un segnale chiaro per portare questo problema più in alto nella coda delle priorità.
Conclusione
La lezione più ampia non è che WinRAR sia intrinsecamente pericoloso. È che piccole utility affidabili possono diventare punti di svolta ad alto valore per l’intrusione quando la distribuzione delle patch resta indietro rispetto allo sfruttamento. Nella difesa moderna, il divario tra divulgazione e correzione è spesso il punto in cui si verifica il danno reale. Un archiviatore dimenticato può contare quanto una grande falla di server, se gli aggressori sanno che gli utenti continueranno ad aprire la porta.
TECHCROOK
chiave di sicurezza hardware: Una chiave di sicurezza hardware aggiunge un secondo fattore fisico per accessi a email, VPN e cloud. Se un archivio malevolo porta al furto di credenziali, una chiave può rendere più difficile il riutilizzo degli account. È un dispositivo semplice e portatile che si adatta bene alle configurazioni difensive di tutti i giorni.
WIKICROOK
- Path traversal: Una falla che consente a un aggressore di uscire da un normale percorso file e scrivere file in un’altra posizione del sistema.
- Stealer: Malware progettato per raccogliere credenziali, dati del browser o altre informazioni sensibili.
- CVE: Un identificatore pubblico usato per seguire una vulnerabilità specifica attraverso strumenti e avvisi di sicurezza.
- Catalogo delle vulnerabilità sfruttate note: Un elenco usato dai difensori federali statunitensi per dare priorità alle falle note per essere abusate attivamente.
- Persistenza: Tecniche che aiutano il malware a rimanere su un sistema dopo un riavvio o una disconnessione.




