Závažná chyba ve WinRARu je stále zneužívána. Útočí státní hackeři i kyberzločinci

Bezpečnostní výzkumníci upozorňují na pokračující zneužívání závažné zranitelnosti v populárním archivačním nástroji WinRAR. Přestože byla chyba opravena už v létě 2025, útočníci ji nadále aktivně využívají napříč celým spektrem hrozeb – od státem podporovaných skupin až po čistě finančně motivované kyberzločince.

Podle analytiků Google Threat Intelligence Group (GTIG) je zranitelnost CVE-2025-8088 stále zneužívána v reálných útocích a slouží jako vstupní bod pro nasazení malwaru i dlouhodobou perzistenci v napadených systémech.

Jak chyba funguje

Zranitelnost CVE-2025-8088 je typu path traversal a umožňuje útočníkovi pomocí speciálně vytvořeného RAR archivu zapsat soubory mimo zamýšlené umístění. V praxi je chyba zneužívána k uložení škodlivých souborů přímo do složky Windows Startup, která se automaticky spouští při přihlášení uživatele.

Typický scénář útoku:

• oběť otevře škodlivý archiv ve zranitelné verzi WinRARu,
• skrytý payload (např. LNK, BAT nebo skript) je rozbalen mimo cílovou složku,
• po restartu nebo přihlášení dojde k automatickému spuštění škodlivého kódu.

Útoky často využívají i techniku Alternate Data Streams (ADS) k maskování škodlivých souborů uvnitř archivu.

Patch existuje, útoky pokračují

Zranitelnost byla opravena ve verzi WinRAR 7.13, vydané 30. července 2025.
Její závažnost dosahuje skóre 8,8 (CVSS v3.1), případně 8,4 (CVSS v4.0), což ji řadí mezi vysoce závažné bezpečnostní chyby.

Navzdory dostupné opravě Google potvrzuje, že i měsíce po jejím vydání zůstává významná část systémů neaktualizovaná a zranitelná.

Zero-day a první útoky

Zranitelnost byla objevena a nahlášena společností ESET, která zároveň potvrdila, že byla zneužívána jako zero-day již od 18. července 2025, tedy ještě před vydáním opravy.

Mezi prvními aktéry, kteří chybu zneužívali, byla skupina RomCom (také označovaná jako UNC4895 nebo CIGAR). Ta kombinovala špionážní a finanční motivace a doručovala malware z rodiny SnipBot (NESTPACKER).

Přidaly se státní i kriminální skupiny

Po zveřejnění zranitelnosti se její zneužívání rychle rozšířilo. Podle GTIG ji ve svých kampaních využívaly mimo jiné:

• ruské státem podporované skupiny Sandworm (APT44), Gamaredon a Turla,
• aktér napojený na Čínu, který chybu zneužíval k nasazení malwaru Poison Ivy,
• finančně motivované skupiny šířící běžné RAT nástroje a informační stealery, jako jsou AsyncRAT nebo XWorm.

V některých případech byly zaznamenány i zadní vrátka ovládaná prostřednictvím Telegram botů.

Exploity jako zboží

Jedním z důvodů masového rozšíření útoků je komercializace exploitů. Funkční WinRAR exploity byly nabízeny na underground fórech za tisíce dolarů. Jeden z dodavatelů, vystupující pod přezdívkou zeroplayer, nabízel hotový exploit ještě před veřejným zveřejněním zranitelnosti.

Tento trend dále snižuje technickou bariéru vstupu a umožňuje využívat pokročilé zranitelnosti i méně sofistikovaným útočníkům.

Nejde o jediný problém WinRARu

Bezpečnostní výzkumníci zároveň upozorňují, že další zranitelnost CVE-2025-6218 (CVSS 7,8) je rovněž aktivně zneužívána více skupinami. Opět se tak potvrzuje, že N-day zranitelnosti představují dlouhodobé riziko i dlouho po zveřejnění opravy.

Co si z toho odnést

• WinRAR patří mezi běžně používané nástroje, které bývají v bezpečnostních politikách podceňovány
• Neaktualizovaný software zůstává atraktivním cílem i měsíce po vydání patchů
• Útočníci dnes kombinují státní, kriminální i komerční motivace

Pokud WinRAR používáte, ověřte si, že máte nainstalovanou verzi 7.13 nebo novější.
V prostředí firem a institucí jde o další připomínku, že i zdánlivě „banální“ aplikace mohou představovat vážné bezpečnostní riziko.