ESET araştırmacıları, WinRAR yazılımında CVE-2025-8088 koduyla kayıtlı yeni bir güvenlik açığı keşfetti. Rusya bağlantılı RomCom hacker grubunun aktif olarak kullandığı açık, Windows sistemlerde uzaktan kod çalıştırma yetkisi veriyor.
CVE-2025-8088, hedefli saldırılarda kullanılan ciddi bir zafiyet olarak tanımlandı. ESET’e göre saldırganlar, özel olarak hazırlanmış RAR arşivleri ile kullanıcı sistemlerine kötü amaçlı dosyalar yerleştirebiliyor. Bu dosyalar genellikle Windows’un Başlangıç klasörlerine konumlandırılarak sistem açılışında otomatik çalıştırılıyor. Söz konusu yöntem, kullanıcı fark etmeden zararlı yazılımın yüklenmesini sağlıyor. Böylece saldırganlar hem veri çalabiliyor hem de sisteme kalıcı erişim elde edebiliyor.
Araştırmacılar Anton Cherepanov, Peter Košinár ve Peter Strýček, bu açığın kimlik avı kampanyalarında yaygın olarak kullanıldığını aktardı. Saldırılarda genellikle e-posta ekleri veya güvenilir gibi görünen bağlantılar tercih ediliyor. Kullanıcı, farkında olmadan zararlı RAR dosyasını açtığında süreç başlıyor. Bu yöntem, işletim sisteminin dosya yolunu manipüle ederek yetkisiz konumlara veri yazılmasına imkân tanıyor.
WinRAR 7.13 güncellemesiyle güvenlik açığı kapatıldı
WinRAR’ın otomatik güncelleme sistemi bulunmuyor. Bu nedenle 7.13 sürümünü yüklemek için manuel indirme ve kurulum yapılması gerekiyor. Güncelleme uygulanmadığında, CVE-2025-8088 açığı saldırganlar tarafından kullanılmaya devam edilebiliyor. ESET, Windows dışındaki sistemlerde —örneğin Unix ve Android tabanlı RAR araçlarında— bu zafiyetin bulunmadığını belirtiyor. Tüm bunların yanında, güncelleme yüklenene kadar bilinmeyen kaynaklardan gelen arşiv dosyalarının açılmaması öneriliyor.
RomCom grubu, Storm-0978, Tropical Scorpius ve UNC2596 isimleriyle de biliniyor. Grup geçmişte fidye yazılımı dağıtımı, casusluk faaliyetleri ve veri hırsızlığı içeren çok sayıda saldırı gerçekleştirdi. CVE-2025-8088 açığı, grubun kimlik avı operasyonlarında yeni bir yöntem olarak öne çıkıyor. ESET raporunda, saldırıların hedefinde özellikle devlet kurumları ve büyük ölçekli şirketlerin bulunduğu belirtiliyor.
Açığın teknik ayrıntıları arasında “dizin izinsiz geçiş” (path traversal) zafiyeti öne çıkıyor. Bu yöntemle saldırganlar, dosyaları kullanıcının seçmediği klasörlere çıkarabiliyor. Özellikle Windows’un otomatik başlatma klasörleri hedeflenerek sistem her açıldığında zararlı kod çalıştırılabiliyor. Güvenlik uzmanları, bu tür açıkların yazılım bileşenlerinin arşiv işleme sürecinde güvenlik kontrollerinin eksikliğinden kaynaklandığını ifade ediyor.
ESET ve WinRAR geliştiricileri, kullanıcıların derhal en güncel sürüme geçmesini tavsiye ediyor. Bunun yanı sıra, e-posta yoluyla gelen dosyaların kaynağı doğrulanmadan açılmaması gerektiği vurgulanıyor. 7.13 sürümünün indirilebilir bağlantısı WinRAR’ın resmi internet sitesinde yer alıyor ve kullanıcıların güncellemeyi ertelemeden uygulaması isteniyor.
