WinRAR のゼロデイ脆弱性

人気のファイルアーカイブユーティリティWinRARの開発者は、実際に悪用されているゼロデイ脆弱性を修正する緊急セキュリティアップデートをリリースしました。CVSSスコア8.8でCVE-2025-8088として追跡されているこの脆弱性は、Windows版WinRARに存在するパストラバーサルのバグであり、攻撃者は細工されたアーカイブファイルを通じて任意のコードを実行できます。

この修正は、2025 年 7 月 31 日にリリースされた WinRAR バージョン 7.13 で提供されました。この脆弱性は、WinRAR だけでなく、RAR、UnRAR、UnRAR.dll、および Windows 用のポータブル UnRAR ソース コードにも影響します。

エクスプロイトの仕組み

この脆弱性は、WinRARの以前のバージョンでは、本来の解凍パスではなく、アーカイブ内に指定された悪意のあるパスを使用してファイルを解凍してしまう可能性があることに起因しています。この動作を悪用すると、Windowsのスタートアップフォルダなどの機密性の高いシステムディレクトリにファイルが配置され、次回のシステムログイン時に自動的にコードが実行される恐れがあります。

関連する脆弱性CVE-2025-6218は2025年6月に修正され、ディレクトリトラバーサル攻撃も可能になりました。脅威アクターは両方の脆弱性を併用することで、抽出時にファイルパスを操作したり、指定されたフォルダ外にファイルを書き込み、被害者の注意をそらすためのおとり文書を表示しながら悪意のあるコードを実行したりすることが可能でした。

脅威アクターの活動とダークウェブのリンク

サイバーセキュリティ研究者は、最近のCVE-2025-8088の脆弱性の悪用を、ハッキンググループPaper Werewolf（別名GOFFEE）によるものと関連付けています。このグループは、この脆弱性とCVE-2025-6218を組み合わせて標的型攻撃を仕掛けた可能性があります。

調査の結果、2025年7月7日、「zeroplayer」と名乗るサイバー犯罪者が、ロシア語フォーラムExploit.inにおいて、WinRARのゼロデイ脆弱性を8万ドルで提供すると宣伝していたことが明らかになりました。Paper Werewolfがこのエクスプロイトを入手し、現実世界の攻撃に利用した疑いがあります。

攻撃キャンペーンの詳細

2025年7月、ロシアの組織が悪意のあるアーカイブを含むフィッシングメールの標的となりました。被害者がこれらのファイルを開くと、エクスプロイトチェーンは両方の脆弱性を悪用し、以下の攻撃を実行しました。

• 意図した抽出パスの外部のディレクトリにファイルを書き込みます。
• 被害者が気付かないうちにコード実行をトリガーします。

注目すべき技術的詳細として、攻撃者は相対パスを含む名前を持つ代替データストリームを含むRARアーカイブを作成した。これらのストリームは任意のペイロードを運び、アーカイブから直接抽出または開くと、ディスク上の任意のディレクトリに書き込まれる。

ペイロード機能

特定された悪意のあるペイロードの 1 つは、次のような .NET ベースのローダーです。

• 被害者のコンピュータ名などのシステム情報を収集します。
• データをリモート サーバーに送信します。
• 暗号化された .NET アセンブリを含む追加のマルウェアをダウンロードします。

Paper Werewolf は、このローダーをソケット経由のリバース シェルと組み合わせて使用し、コマンド アンド コントロール インフラストラクチャとの直接通信を可能にしていると報告されています。

推奨されるアクション

WinRARをご利用の方は、CVE-2025-8088およびCVE-2025-6218のリスクを排除するため、直ちにバージョン7.13以降にアップデートしてください。特に機密データを扱う組織は、メールセキュリティポリシーを見直し、アーカイブからの自動ファイル実行を無効化し、不審な解凍動作を監視する必要があります。