Kerentanan "Zero-Day" Pada Winrar Dimanfaatkan Untuk Menanamkan Malware Saat Proses Ekstraksi Arsip

Kerentanan WinRAR yang baru saja diperbaiki, dengan kode CVE-2025-8088, telah dieksploitasi sebagai zero-day dalam serangan phishing untuk memasang malware RomCom.

Celah tersebut merupakan kerentanan directory traversal yang telah diperbaiki pada WinRAR versi 7.13. Kerentanan ini memungkinkan arsip yang dibuat secara khusus untuk mengekstrak file ke jalur direktori yang ditentukan oleh penyerang.

"Saat mengekstrak file, versi WinRAR sebelumnya, versi Windows dari RAR, UnRAR, kode sumber portabel UnRAR, dan UnRAR.dll dapat dimanipulasi untuk menggunakan jalur yang ditentukan dalam arsip yang dibuat secara khusus, alih-alih jalur yang dipilih oleh pengguna," demikian bunyi catatan perubahan (changelog) WinRAR 7.13.

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

Saat pengguna masuk kembali, file executable tersebut akan berjalan secara otomatis, memungkinkan penyerang untuk melakukan remote code execution. Karena WinRAR tidak memiliki fitur pembaruan otomatis, sangat disarankan agar semua pengguna secara manual mengunduh dan memasang versi terbaru dari situs resmi win-rar.com agar terlindungi dari kerentanan ini.

Dieksploitasi sebagai zero-day dalam serangan Celah ini ditemukan oleh Anton Cherepanov, Peter Košinár, dan Peter Strýček dari ESET, dengan Strýček menyampaikan kepada BleepingComputer bahwa celah tersebut telah dieksploitasi secara aktif dalam serangan phishing untuk memasang malware.

"ESET telah mengamati email spearphishing dengan lampiran yang berisi file RAR," ujar Strýček kepada BleepingComputer. Arsip-arsip tersebut mengeksploitasi CVE-2025-8088 untuk mengirimkan backdoor RomCom. RomCom adalah kelompok peretas yang berafiliasi dengan Rusia. RomCom (juga dikenal sebagai Storm-0978, Tropical Scorpius, atau UNC2596) merupakan kelompok peretas Rusia yang terkait dengan serangan ransomware dan pemerasan pencurian data, serta kampanye yang berfokus pada pencurian kredensial. Kelompok ini dikenal karena menggunakan kerentanan zero-day dalam serangan mereka, serta mengembangkan malware khusus untuk pencurian data, mempertahankan akses (persistence), dan bertindak sebagai pintu belakang (backdoor). RomCom sebelumnya telah dikaitkan dengan berbagai operasi ransomware, termasuk Cuba dan Industrial Spy. ESET saat ini tengah menyusun laporan terkait eksploitasi ini, yang akan diterbitkan pada waktu mendatang.