Vulnerabilidad de día cero en WinRAR
Los desarrolladores de la popular utilidad de archivado de archivos WinRAR han publicado una actualización de seguridad urgente para corregir una vulnerabilidad de día cero que se explota activamente. Identificada como CVE-2025-8088 con una puntuación CVSS de 8.8, la falla es un error de navegación de rutas en la versión de WinRAR para Windows que permite a los atacantes ejecutar código arbitrario a través de archivos de almacenamiento especialmente diseñados.
La solución se envió en la versión 7.13 de WinRAR, lanzada el 31 de julio de 2025. La vulnerabilidad afecta no solo a WinRAR, sino también a RAR, UnRAR, UnRAR.dll y el código fuente portátil de UnRAR para Windows.
Tabla de contenido
Cómo funciona el exploit
La falla se produce porque versiones anteriores de WinRAR podían ser engañadas para extraer archivos usando una ruta maliciosa especificada dentro del archivo comprimido, en lugar de la ruta de extracción prevista. Este comportamiento puede aprovecharse para colocar archivos en directorios sensibles del sistema, como la carpeta de inicio de Windows, lo que provoca la ejecución automática de código en el siguiente inicio de sesión.
La vulnerabilidad relacionada CVE-2025-6218, parcheada en junio de 2025, también permitía ataques de cruce de directorios. Los atacantes podían usar ambas vulnerabilidades conjuntamente para manipular las rutas de los archivos durante la extracción, escribir archivos fuera de las carpetas designadas y ejecutar código malicioso mientras mostraban un documento señuelo para distraer a la víctima.
Actividad de los actores de amenazas y enlaces a la Dark Web
Investigadores de ciberseguridad han vinculado la reciente explotación de CVE-2025-8088 al grupo de hackers Paper Werewolf (también conocido como GOFFEE). Este grupo podría haber asociado la falla con CVE-2025-6218 para lanzar ataques dirigidos.
Las investigaciones revelaron que el 7 de julio de 2025, un ciberdelincuente conocido como "zeroplayer" anunció un supuesto exploit de día cero para WinRAR en el foro ruso Exploit.in por 80.000 dólares. Se sospecha que Paper Werewolf obtuvo este exploit y lo utilizó como arma en ataques reales.
Detalles de la campaña de ataque
En julio de 2025, organizaciones rusas fueron atacadas mediante correos electrónicos de phishing que contenían archivos maliciosos. Cuando las víctimas abrieron estos archivos, la cadena de exploits aprovechó ambas vulnerabilidades para:
- Escribir archivos en directorios fuera de la ruta de extracción prevista.
- Ejecutar código desencadenante sin el conocimiento de la víctima.
Un detalle técnico destacable es que los atacantes crearon archivos RAR con flujos de datos alternativos cuyos nombres contenían rutas relativas. Estos flujos contenían cargas útiles arbitrarias y, al extraerse o abrirse directamente del archivo, se escribían en cualquier directorio del disco.
Capacidades de carga útil
Una de las cargas útiles maliciosas identificadas es un cargador basado en .NET que:
- Recopila información del sistema, como el nombre de la computadora de la víctima.
- Envía los datos a un servidor remoto.
- Descarga malware adicional, incluido un ensamblado .NET cifrado.
Según se informa, Paper Werewolf utiliza este cargador en combinación con una carcasa inversa sobre conectores, lo que permite una comunicación directa con su infraestructura de comando y control.
Acción recomendada
Los usuarios de WinRAR deben actualizar inmediatamente a la versión 7.13 o posterior para eliminar el riesgo de CVE-2025-8088 y CVE-2025-6218. Toda organización, especialmente las que manejan datos confidenciales, debe revisar las políticas de seguridad del correo electrónico, desactivar la ejecución automática de archivos desde los archivos comprimidos y supervisar cualquier comportamiento de extracción sospechoso.
