Geçtiğimiz hafta, WinRAR 7.13 sürümü, CVE-2025-8088 olarak adlandırılan bir dizin geçişi güvenlik açığını gideren bir düzeltmeyle birlikte yayımlandı. Saldırganların bu açığı aktif olarak kötüye kullandığını keşfeden ESET araştırmacılarının çalışmaları sayesinde, artık bu güvenlik açığı hakkında daha fazla bilgiye sahibiz.

Güvenlik açığı, arşiv çıkarmayı işleyen temel bir kütüphane olan UNRAR.dll dosyasında bulunuyor . Saldırganlar, yazılımı kandırıp dosyayı kullanıcının seçtiği dizin yerine kullanıcının seçtiği bir konuma yazdırabilen kötü amaçlı bir arşiv oluşturuyor.

ESET’ten Anton Cherepanov, Peter Košinár ve Peter Strýček‘e göre, saldırganlar bu güvenlik açığından yararlanarak Başlangıç Klasörü gibi hassas sistem konumlarına zararlı yazılımlar bırakıyor. Bir yürütülebilir dosya bir yola yerleştiriliyor, kötü amaçlı kod kullanıcı oturum açtığında otomatik olarak çalışıyor. Bu eylem, saldırgana ele geçirilen bilgisayarda uzaktan kod yürütme olanağı sağlıyor.

Bu saldırıların arkasındaki grubun RomCom ekibi olduğu düşünülüyor. RomCom kötü amaçlı yazılımının kendisi, en az 2022’den beri kullanımda olan bir Uzaktan Erişim Truva Atı (RAT). Sosyal mühendislik yoluyla insanları kandırarak, bazen KeePass gibi popüler yazılımların web sitelerini taklit ederek çalışıyor. Böylece masum bir kullanıcı yükleyiciyi indirdiğinde, RAT da onunla birlikte yükleniyor. Grup, geçmişte faaliyetlerini Ukrayna ve çeşitli NATO ülkeleri gibi ülkelere odaklamıştı.

Güncelleme yapın

WinRAR’ın yerleşik bir otomatik güncelleme mekanizması olmadığı için yazılımı kullanan herkesin korunmak için resmi web sitesini manuel olarak ziyaret edip 7.13 sürümünü yüklemesi gerekiyor.