WinRAR xuất hiện lỗ hổng zero-day đang bị tin tặc khai thác người dùng cần cập nhật ngay

Theo trang The Hacker News, lỗ hổng này được định danh CVE-2025-8088, có điểm CVSS 8.8, thuộc dạng path traversal trên phiên bản WinRAR dành cho Windows. Tin tặc có thể lợi dụng bằng cách tạo ra tập tin nén độc hại, từ đó thực thi mã tùy ý trên máy nạn nhân.

Theo khuyến cáo từ WinRAR, các phiên bản cũ hơn 7.13 (bao gồm RAR, UnRAR, UnRAR.dll và mã nguồn UnRAR bản portable cho Windows) có thể bị đánh lừa để sử dụng đường dẫn bên trong tập tin nén thay vì đường dẫn giải nén do người dùng chỉ định. Điều này có thể dẫn tới việc ghi tệp vào các thư mục nhạy cảm, như thư mục Windows Startup, và từ đó chạy mã độc khi khởi động máy.

Phần mềm thông dụng WinRAR đang bị tin tặc tấn công, người dùng cần cập nhật phiên bản mới nhất.

Lỗ hổng được các chuyên gia bảo mật Anton Cherepanov, Peter Kosinar và Peter Strycek từ Công ty an ninh mạng ESET phát hiện và báo cáo. Phiên bản WinRAR 7.13, phát hành ngày 31/7/2025, đã khắc phục hoàn toàn lỗi này.

Hiện vẫn chưa rõ nhóm tin tặc nào đang trực tiếp khai thác CVE-2025-8088, tuy nhiên báo cáo của công ty an ninh mạng BI.ZONE cho thấy nhóm Paper Werewolf (còn gọi là GOFFEE) có thể đã sử dụng lỗ hổng này kết hợp với CVE-2025-6218 một lỗi path traversal khác đã được vá hồi tháng 6/2025.

Theo Công ty BI.ZONE, trước khi xảy ra các vụ tấn công, một hacker có biệt danh “zeroplayer” từng rao bán khai thác zero-day WinRAR trên diễn đàn dark web tiếng Nga Exploit.in với giá 80.000 USD. Paper Werewolf bị nghi ngờ đã mua và sử dụng công cụ này để tấn công các tổ chức tại Nga thông qua email lừa đảo chứa tập tin nén cài mã độc.

Mã độc này bao gồm trình nạp (loader) viết bằng C# nhằm thu thập thông tin hệ thống, gửi ra máy chủ bên ngoài và nhận thêm phần mềm độc hại, đồng thời sử dụng reverse shell để duy trì quyền điều khiển từ xa.

Trước tình hình này, người dùng WinRAR nên kiểm tra và cập nhật ngay lên phiên bản 7.13 để đảm bảo an toàn. Tránh mở các tập tin nén không rõ nguồn gốc, đặc biệt là những tập tin nhận qua email. Cùng với đó, công cụ nén 7-Zip cũng vừa vá một lỗ hổng (CVE-2025-55188) cho phép ghi tệp tùy ý thông qua xử lý symbolic link trong quá trình giải nén. Lỗi này ảnh hưởng chủ yếu đến hệ thống Unix, nhưng cũng có thể khai thác trên Windows nếu có quyền Administrator hoặc bật Developer Mode. Người dùng 7-Zip nên nâng cấp ngay lên phiên bản 25.01.

Ở Việt Nam, WinRAR là phần mềm nén/giải nén mặc định của nhiều doanh nghiệp và người dùng cá nhân. Chỉ cần người dùng mở tập tin nén độc hại, lỗ hổng có thể bị khai thác ngay, không phân biệt ngành nghề hay quy mô tổ chức, đây là mối đe dọa trực tiếp và cần được xử lý ngay bằng cách cập nhật phần mềm và cảnh giác trước mọi tập tin nén lạ.

Duy Trinh