Vulnerabilidad Zero-Day en WinRAR (CVE-2025-8088) – Explotación Activa

Alta Alerta 4
  • Descubrimiento: 18 de julio de 2025, según ESET
  • Parche disponible: RARLAB lanzó WinRAR 7.13 (beta el 24 de julio; versión oficial el 30/31 de julio de 2025)
  • Publicación del plugin de detección (Nessus): 11 de agosto de 2025, actualizado el 15 de agosto

Naturaleza de la amenaza

  • Tipo de vulnerabilidad: Directory traversal (CVE-2025-8088), que permite que un archivo comprimido malicioso sobrescriba o coloque archivos fuera del directorio designado por el usuario, posibilitando la ejecución remota de código.
  • La explotación se realizaba mediante flujos de datos alternativos (ADS), ocultos dentro de archivos RAR aparentemente benignos.
  • Al extraer estos archivos, se generaban backdoors: variantes como SnipBot, RustyClaw o el agente Mythic, con doble propósito de persistencia y espionaje.

Actores involucrados y objetivos

  • RomCom (también llamado Storm-0978 / Tropical Scorpius / UNC2596), alineado con Rusia, responsable de la explotación primaria. Dirigido a empresas financieras, manufactureras, de defensa y logística en Europa y Canadá.
  • Otro actor, Paper Werewolf, según BI.ZONE, también utilizó esta vulnerabilidad poco después, apuntando principalmente a organizaciones rusas.
  • Se sugiere que el exploit fue ofrecido en un foro de ciberdelincuencia por USD 80,000, lo que pudo facilitar su aparición entre múltiples actores maliciosos.

Riesgos e impacto técnico

  • Riesgo elevado: CVSS v4 de 8,4, calificado como «alta» severidad, con un VPR (Vulnerability Priority Rating) crítico de 9,2.
  • Explotación en entornos reales mediante phishing dirigido (spearphishing) con CVs como señuelo.
  • Los exploits permiten persistencia mediante creación de archivos LNK en carpetas de inicio y ejecución silenciosa al iniciar sesión.
  • A pesar del riesgo, no se reportaron casos de compromiso exitoso en los objetivos observados por ESET.

Recomendaciones urgentes

  1. Actualiza inmediatamente a WinRAR 7.13 o superior (disponible desde el 30–31 de julio de 2025).
  2. Asegúrate de que también se actualicen todas las dependencias relacionadas: UnRAR.dll y códigos fuente portables de UnRAR.
  3. Si utilizas 7-Zip, verifica que esté actualizado a al menos la versión 25.01, ya que corrige una vulnerabilidad similar (CVE-2025-55188).
  4. Filtra o aísla archivos .rar/.zip externos; si necesitas abrirlos, hazlo dentro de una sandbox.
  5. Monitorea escrituras de WinRAR.exe / UnRAR.dll en rutas críticas como Startup, AppData o ProgramData.
  6. Mejora la concienciación entre los empleados sobre los riesgos del phishing y los archivos comprimidos sospechosos.
  7. Si usas Nessus, asegúrate de tener actualizado el plugin 248462 para detectar instalaciones vulnerables y facilitar auditorías de cumplimiento.

Conclusión

La vulnerabilidad CVE-2025-8088, explotada activamente desde mediados de julio de 2025, representa un riesgo significativo para usuarios y organizaciones que utilizan WinRAR. Afortunadamente, desde finales de julio ya hay un parche disponible. Sin embargo, debido a su disponibilidad pública y venta en el mercado negro, es probable que su explotación aumente. La mitigación rápida y eficiente es fundamental.

Otros contenidos que te pueden intersar:

Default ThumbnailVulnerabilidad crítica en Synology BeeStation OS Default ThumbnailVulnerabilidades Veeam Backup & Replication Default ThumbnailApple ha lanzado parches de emergencia para corregir un fallo grave Log4Shell: La vulnerabilidad que sacudió el mundo de la ciberseguridad Default ThumbnailVulnerabilidad crítica en el servidor de Wazuh Default ThumbnailVulnerabilidades críticas en impresoras HP

Calendario de la Ciberseguridad /26

¡Pídelo gratis!
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Servicio de avisos

Recibe las alertas de seguridad más importantes a tu email
Infordisa / Security Operations Center
Powered by  Cumplimiento de cookies de GDPR
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.