Kritisk WinRAR 0-dag udnyttes aktivt

Eskil Sørensen
08.11.2025 11:46
CVSS-score på 8,4.

Et alvorligt sikkerhedshul i arkiveringsværktøjet WinRAR udnyttes i øjeblikket aktivt af trusselsaktører. 

Det skriver The Hacker News.

Sårbarheden har id’et CVE-2025-8088 og CVSS-score på 8,4. Den gør det muligt for angribere at opnå vilkårlig kodeeksekvering via path traversal ved hjælp af specialfremstillede arkivfiler.

Påvirker Windows-version

Det fremgår, at fejlen påvirker Windows-versionen af WinRAR samt relaterede komponenter som RAR, UnRAR, UnRAR.dll og den portable UnRAR-kildekode. Ved udpakning af en ondsindet arkivfil kan ældre versioner af WinRAR manipuleres til at skrive filer uden for den tiltænkte mappe – eksempelvis til Windows’ Startup-folder – hvilket kan føre til automatisk eksekvering ved næste login.

Sårbarheden blev opdaget af sikkerhedsforskere fra ESET og er blevet rettet i version 7.13, som blev udgivet den 31. juli 2025. Alle versioner op til og med 7.12 er sårbare.

Er brugt i phishingkampagner 

Ifølge russiske BI.ZONE er sårbarheden blevet udnyttet i målrettede phishingkampagner mod russiske organisationer. Angrebene involverer arkiver, der udnytter både CVE-2025-8088 og en tidligere offentliggjort sårbarhed, CVE-2025-6218, til at placere og eksekvere skadelig kode. En af de anvendte payloads er en .NET-baseret loader, som indsamler systeminformation og henter yderligere malware via en reverse shell.

Trusselsaktøren "Paper Werewolf" (også kendt som GOFFEE) mistænkes for at stå bag angrebene. Gruppen menes at have erhvervet en exploit via det russiske dark web-forum Exploit.in, hvor en bruger ved navn "zeroplayer" annoncerede et WinRAR-exploit til salg for $80.000.

Det anbefales, at 

  • WinRAR straks opdateres til version 7.13 på alle Windows-systemer, 
  • RAR-filer i e-mailtrafik blokeres og overvåges især fra ukendte afsendere.
  • Sandboxing og isolering af arkiveringsværktøjer implementeres i miljøer med høj risiko.
  • Netværkstrafik for reverse shell-aktivitet overvåges, især fra .NET-processer.
  • Slutbrugere informeres om risikoen ved at åbne arkiver fra ukendte kilder.

The Hacker news skriver endvidere, at 7-Zip har rettet en lavrisiko-sårbarhed (CVE-2025-55188, CVSS 2.7), som kan misbruges til vilkårlig filskrivning via symboliske links. Selvom angrebet primært retter sig mod Unix-systemer, kan det med visse forudsætninger også udnyttes på Windows.

Læs mere

Sårbarhed