Vulnerabilidad Zero-Day en WinRAR está siendo explotada activamente

agosto 12, 2025

Los desarrolladores de WinRAR han publicado una actualización urgente para corregir una vulnerabilidad crítica zero-day que está siendo explotada en ataques reales.

La falla, identificada como CVE-2025-8088 con una puntuación CVSS de 8.8, es un caso de rutas traversas que afecta a la versión para Windows de WinRAR y que podría permitir la ejecución arbitraria de código mediante archivos comprimidos especialmente diseñados.

“En versiones anteriores, WinRAR y sus componentes podían ser engañados para utilizar rutas definidas dentro de un archivo malicioso, en lugar de la ruta especificada por el usuario durante la extracción”, indicó la compañía.

El fallo fue descubierto por investigadores de ESET y corregido en la versión 7.13 publicada el 31 de julio de 2025.

La empresa de ciberseguridad rusa BI.ZONE reportó que el grupo Paper Werewolf (GOFFEE) podría estar combinando CVE-2025-8088 con otra vulnerabilidad similar, CVE-2025-6218, corregida en junio de 2025.

Antes de estos ataques, un actor conocido como “zeroplayer” ofreció en un foro clandestino ruso un presunto exploit zero-day para WinRAR por $80,000 USD. Se sospecha que este código terminó en manos de los atacantes.

Las campañas detectadas en julio de 2025 apuntaron contra organizaciones rusas a través de correos de phishing con archivos comprimidos que, al abrirse, escribían archivos fuera del directorio objetivo (incluso en carpetas críticas como la de inicio de Windows) y ejecutaban código malicioso mientras mostraban documentos señuelo para distraer a la víctima.

Uno de los payloads identificados es un loader en .NET que roba información del sistema y descarga malware adicional, utilizando conexiones de reverse shell para el control remoto.

ESET detectó que el grupo RomCom, alineado con intereses rusos, también explotó CVE-2025-8088 como zero-day desde el 18 de julio de 2025, en ataques dirigidos contra empresas de los sectores financiero, manufacturero, defensa y logística en Europa y Canadá.

Los atacantes usaron archivos RAR maliciosos con Alternate Data Streams (ADS) para realizar path traversal, ejecutando DLL maliciosas y configurando accesos directos en la carpeta de inicio de Windows para mantener persistencia.

Estos ataques desplegaron múltiples backdoors, incluyendo variantes de SnipBot, RustyClaw y el agente Mythic, además de un descargador llamado MeltingClaw, usado previamente para instalar puertas traseras como ShadyHammock y DustyHammock.

La divulgación coincide con la publicación de un parche en 7-Zip para corregir la vulnerabilidad CVE-2025-55188 (CVSS 3.6), que permite escritura arbitraria de archivos durante la extracción si se manipulan enlaces simbólicos, lo que podría derivar en ejecución de código.

Aunque el riesgo es mayor en sistemas Unix, también podría aprovecharse en Windows bajo ciertas condiciones (modo desarrollador o privilegios de administrador).

• Actualizar inmediatamente WinRAR a la versión 7.13 o superior.
• Descargar solo desde el sitio oficial (win-rar.com).
• Evitar abrir archivos comprimidos de remitentes desconocidos o no verificados.
• Implementar soluciones de seguridad que detecten malware en archivos comprimidos.

La explotación activa de CVE-2025-8088 confirma que herramientas ampliamente utilizadas como WinRAR siguen siendo objetivos prioritarios para actores estatales y criminales. No actualizar representa un riesgo alto de compromiso del sistema.

Noticia redactada con apoyo de herramientas LLM