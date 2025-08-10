I ricercatori di ESET hanno scoperto una vulnerabilità zero-day in WinRAR 7.12 sfruttata durante attacchi di phishing per installare il malware RomCom. In seguito alla segnalazione, lo sviluppatore del popolare software ha rilasciato una nuova versione che corregge il bug. Gli utenti possono scaricarla dal sito ufficiale.

Descrizione della vulnerabilità

La vulnerabilità CVE-2025-8088 scoperta dai ricercatori di ESET è del tipo “directory traversal”. In pratica non viene correttamente validato il percorso di un file contenuto nell’archivio RAR. Sfruttando il bug presente nella libreria UnRAR.dll che permette l’estrazione è possibile copiare un eseguibile nelle directory Startup (Esecuzione automatica) di Windows:

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp

Quando l’ignara vittima avvia il sistema operativo, il file viene eseguito. In questo caso si tratta di RomCom, un RAT (Remote Access Trojan) distribuito dall’omonimo gruppo di cybercriminali russi. L’archivio RAR che contiene il malware viene allegato alle email inviate durante un attacco di spear phishing, ovvero contro specifici target, principalmente aziende o agenzie governative dell’Ucraina e i suoi alleati occidentali.

La vulnerabilità è zero-day in quanto viene attivamente sfruttata da un exploit. Lo sviluppatore ha rilasciato WinRAR 7.13 che risolve questo grave problema di sicurezza e altri due bug.

WinRAR non offre una funzionalità di aggiornamento automatico, quindi gli utenti devono scaricare la nuova versione dal sito ufficiale. In alternativa possono utilizzare 7-Zip o il supporto integrato in Windows 11, ma solo per l’estrazione degli archivi RAR. La vulnerabilità non è presente nelle versioni per macOS, Linux, FreeBSD e Android.

A fine giugno era stata corretta una simile vulnerabilità presente in WinRAR 7.11, ma è “ritornata” in WinRAR 7.12.