Lunedi 06 Luglio 2026 03:47:29 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilità e gestione delle patch

La trappola dei collegamenti di WinRAR: come un bug negli archivi è diventato un canale di persistenza al login

Pubblicato: 26 Giugno 2026 12:08Categoria: Vulnerabilità e gestione delle patchArea: Europa / GermaniaAutore: SECURESPECTER

Una vulnerabilità di path traversal nella versione Windows di WinRAR è stata collegata all'estrazione di archivi che può inserire un collegamento nella cartella Esecuzione automatica, quindi usare lo staging con PowerShell e il caricamento in memoria per rendere più difficile il rilevamento.

Un file compresso dovrebbe decomprimere contenuti, non riscrivere dove Windows cerca il prossimo elemento da eseguire. Per questo la storia attuale dello sfruttamento di WinRAR è importante: la mossa tecnica non riguarda solo la consegna, ma il posizionamento dei file. Quando un bug negli archivi può scrivere fuori dalla cartella prevista, può essere trasformato in persistenza prendendo di mira la posizione Esecuzione automatica dell'utente corrente e preparando il terreno per l'esecuzione di codice successiva.

Fatti rapidi

  • CVE-2025-8088 è una vulnerabilità di path traversal di WinRAR che interessa la linea Windows ed è stata corretta nella versione 7.13.
  • La catena di abuso segnalata inserisce un collegamento in una cartella Esecuzione automatica, un meccanismo standard di accesso a Windows.
  • L'attività successiva usa PowerShell come livello di staging prima che un PE senza header venga mappato ed eseguito in memoria.
  • Gli Alternate Data Streams di NTFS possono nascondere dati associati a un file e complicare l'ispezione dell'archivio.
  • Il resoconto pubblico non stabilisce un numero di vittime, un elenco di settori né l'impatto completo a valle.

Perché questa catena è tecnicamente interessante

Il path traversal in uno strumento di archiviazione modifica il modello di minaccia. Invece di limitarsi a estrarre file, il programma può essere costretto a scrivere in percorsi non previsti. In Windows, questo conta perché la cartella Esecuzione automatica non è una directory passiva. Un collegamento inserito lì può attivare codice all'accesso dell'utente, trasformando una debolezza di scrittura su file in un'esecuzione ripetibile.

La catena segnalata va oltre usando PowerShell come fase successiva. Si tratta di una scelta tattica familiare: PowerShell è legittimo, flessibile e spesso già presente sugli endpoint. Quando un collegamento avvia uno script o un comando che genera PowerShell, i difensori hanno bisogno di telemetria di processo, non solo di scansione dei file.

La fase successiva descritta nella campagna è altrettanto notevole: un payload senza header mappato in modo riflessivo in memoria. Dal punto di vista difensivo, ciò riduce il numero di artefatti evidenti su disco e sposta l'attenzione verso le tracce della riga di comando, l'analisi della memoria e comportamenti sospetti tra processi padre e figlio.

Cosa dovrebbero cercare i difensori

Al minimo, l'esposizione a WinRAR merita una priorità di patching alla versione 7.13 o successiva sui sistemi Windows. I team dovrebbero anche controllare i percorsi Esecuzione automatica per l'utente corrente e per tutti gli utenti alla ricerca di file .lnk o eseguibili inattesi. Un collegamento lì non è solo disordine - può essere un punto di ancoraggio per la persistenza.

Vale anche la pena cercare contenuti di archivi o file estratti che si affidano agli Alternate Data Streams di NTFS, soprattutto quando un documento apparentemente normale o un'esca decomprime più di quanto sembri contenere. A questo va aggiunto il monitoraggio di cmd.exe che avvia PowerShell, l'esecuzione nascosta di script e il comportamento di payload solo in memoria. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva sull'intero percorso di compromissione.

Conclusione

La lezione è più ampia di una singola vulnerabilità. La gestione degli archivi si colloca vicino alla fiducia, alla comodità e al comportamento ordinario degli utenti, il che la rende attraente per gli aggressori. Quando uno strumento di compressione può essere abusato per inserire artefatti di avvio automatico e attivare un'esecuzione a fasi, il punto debole non è più solo l'archivio - è il flusso di lavoro attorno ad esso. Nel 2026, quel flusso di lavoro merita lo stesso livello di sospetto che i difensori riservavano un tempo agli allegati e alle macro.

TECHCROOK

Unità di backup esterna: Conserva una copia offline separata dei file importanti su un'unità di backup esterna. I backup regolari rendono più facile ripristinare documenti, foto e dati di lavoro dopo un incidente malware, un aggiornamento problematico o una cancellazione accidentale. Scegli un'unità con spazio sufficiente per backup versionati e tienila scollegata quando non è in uso.

Scheda Techcrook: Unità di backup esterna

WIKICROOK

  • Path Traversal: Una vulnerabilità che consente a un aggressore di scrivere o accedere a file al di fuori della directory prevista.
  • Cartella Esecuzione automatica: Una posizione di Windows in cui gli elementi possono avviarsi automaticamente quando un utente accede al sistema.
  • PowerShell Loader: Una fase basata su script che avvia o recupera altro codice malevolo.
  • Alternate Data Streams (ADS): Flussi di dati NTFS che possono memorizzare dati aggiuntivi associati a un file e non sono normalmente visibili nelle viste standard delle cartelle.
  • Caricamento riflessivo: Una tecnica che carica il codice eseguibile direttamente in memoria invece di utilizzare un normale percorso di esecuzione su disco.