CISA 警報與 WinRAR 零日漏洞的嚴重性
美國網路安全和基礎設施安全局 (CISA) 週二將影響 WinRAR 檔案歸檔和壓縮實用程式的安全漏洞添加到其已知利用漏洞 ( KEV ) 目錄中,並指出有證據表明該漏洞已被積極利用。 此漏洞編號為CVE-2025-6218(CVSS 評分:7.8),是一個路徑遍歷漏洞,可能允許攻擊者執行惡意程式碼。但是,要成功利用漏洞,目標使用者需要存取惡意頁面或開啟惡意檔案。 CISA在一份警報中表示:「RARLAB WinRAR 存在路徑遍歷漏洞,攻擊者可以利用該漏洞在當前用戶的上下文中執行程式碼。」該漏洞已由 RARLAB 在 2025 年 6 月發布的 WinRAR 7.12 版本中修復。此漏洞僅影響 Windows 系統版本,其他平台(包括 Unix 和 Android)的版本不受影響。
WinRAR 沒有內建自動更新功能,使用者必須手動下載並安裝最新版本。以下是更新 WinRAR 的步驟:
a) 前往官方網站:使用您的網頁瀏覽器,造訪 WinRAR 官方下載頁面:https://www.win-rar.com/download.html。
b) 下載最新版本:網站會列出可用的最新版本(例如目前的 7.13 或更新的測試版)。
c) 關閉現有程式:確保您目前沒有開啟任何 WinRAR 視窗或正在進行的壓縮/解壓縮操作。
d) 執行安裝程式:找到您剛下載的 .exe 安裝檔案。
e) 覆蓋安裝:按照安裝精靈的指示進行操作。
f) 完成:安裝完成後,您的 WinRAR 就會更新到最新版本。 |
WinRAR 作為全球最普及的檔案壓縮和解壓縮工具之一,其漏洞一旦被主動利用,將對數百萬 Windows 用戶和企業網路構成普遍且嚴重的威脅。CISA 將其列入 KEV 目錄,標誌著該漏洞已從理論風險轉變為現實威脅,美國聯邦民事行政部門機構被要求在 CISA 指定的期限前應用必要的修復程式,以確保網路安全。
漏洞解析:CVE-2025-6218 的路徑遍歷機制
CVE-2025-6218 的核心技術是路徑遍歷(Path Traversal),這是一種允許攻擊者透過歸檔檔案(如 RAR 或 ZIP)中的特定結構,將檔案解壓縮到受保護或敏感的系統目錄中,而非用戶預期的目標資料夾。WinRAR 當時的漏洞在處理檔案路徑時,未能完全驗證或過濾路徑輸入,使得惡意檔案能夠利用 ../ 等路徑遍歷符號逃離預期的解壓縮目錄。
RARLAB 當時指出,此缺陷可能被利用來將惡意檔案放置到敏感位置,例如 Windows 啟動資料夾(Startup folder)。這使得惡意程式碼得以在使用者下次登入系統時自動執行,從而實現高度隱蔽的系統持久化(Persistence)。攻擊者只需誘騙用戶開啟並解壓縮一個惡意的 RAR 檔案,就能在用戶不知情的情況下,為自己建立一個永久的後門通道。這類攻擊的手法通常是透過魚叉式網路釣魚(Spear-Phishing),誘騙用戶點擊惡意電子郵件附件中的壓縮檔。
駭客行動:三大威脅組織的主動利用模式
此漏洞的危險性在於,它已被多個不同類型的威脅行為者所青睞並武器化,顯示其高效的攻擊價值:
GOFFEE (別名 Paper Werewolf): 俄羅斯網路安全廠商發現,GOFFEE 組織在 2025 年 7 月的攻擊中,將 CVE-2025-6218 與另一個 WinRAR 路徑遍歷漏洞 CVE-2025-8088 (CVSS 8.8) 結合利用,對俄羅斯境內的組織進行魚叉式網路釣魚攻擊。多重漏洞的組合利用大大提高了攻擊的成功率和隱蔽性。
Bitter (別名 APT-C-08 或 Manlinghua): 這個專注於南亞的進階持續性威脅(APT)組織也利用該漏洞來協助受感染主機上的持久化,並投放 C# 木馬。
Gamaredon (俄羅斯駭客組織): 該組織在針對烏克蘭軍事、政府、政治和行政實體的釣魚活動中,利用此漏洞來植入惡意軟體 Pteranodon。
Bitter 組織的進階持久化技術
Bitter APT 組織的攻擊手法尤為複雜且具針對性。他們利用一個名為「Provision of Information for Sectoral for AJK.rar」的惡意 RAR 壓縮檔進行攻擊。該壓縮檔看似包含一個正常的 Word 文件,但同時夾帶了一個惡意的巨集範本,並利用 CVE-2025-6218 將一個名為 Normal.dotm 的檔案放置到 Microsoft Word 的全域範本路徑中。
Normal.dotm 是一個全域範本,每當 Word 開啟時都會載入。透過替換合法的檔案,攻擊者確保他們的惡意巨集程式碼能夠自動執行,從而提供一個持久性後門,這有效地繞過了標準電子郵件對巨集的封鎖。一旦成功植入,後續部署的 C# 木馬就會與外部命令與控制(C2)伺服器聯繫,執行鍵盤記錄、螢幕截圖捕獲、遠端桌面協定(RDP)憑證竊取和檔案外洩等惡意行為。
Gamaredon 的戰爭工具:從間諜活動到破壞行動
俄羅斯駭客組織 Gamaredon 的利用行為更具戰略意義。他們不僅使用此漏洞進行傳統的間諜活動,部署 Pteranodon 等惡意軟體,還利用另一個相關漏洞 CVE-2025-8088 來發布一種代號為 GamaWiper 的破壞性惡意軟體。安全研究人員觀察到,這是 Gamaredon 首次從傳統的網路間諜活動轉向進行破壞性操作,目標是對關鍵實體造成物理和資訊系統的損害。這類攻擊不再僅限於數據竊取,更直接威脅到被攻擊國家的運作穩定性,進一步凸顯了此系列漏洞的戰略利用價值。
緩解與防禦:企業的緊急應對措施
鑒於該漏洞已被證實遭多方勢力積極利用且後果嚴重,所有組織和個人必須立即採取行動:
立即升級: 將 WinRAR 檔案壓縮程式升級到 7.12 或更高版本。這是唯一官方修復該漏洞的方法。
安全意識培訓: 由於漏洞利用需要用戶開啟惡意檔案,因此應加強員工對魚叉式網路釣魚電子郵件和未知來源附件的警惕性。
端點檢測與回應 (EDR): 部署並啟用 EDR 解決方案,以監控和阻止惡意檔案試圖寫入系統敏感目錄(如啟動資料夾或全域範本路徑)的行為,這對於應對 Bitter 組織的持久化技術尤其有效。
遵循 CISA 指令: 聯邦機構必須在 CISA 指定的期限內完成修復,私營企業也應將此時間表作為內部網路安全緊急響應的基準,確保迅速應對 KEV 名單上的威脅。
資料來源:https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html
解析 WinRAR 的 CVE-2025-6218 漏洞如何被 GOFFEE、Bitter 和 Gamaredon 等駭客集團主動利用,透過惡意檔案實現遠端程式碼執行與系統持久化。