WinRAR’da CVE-2025-8088 güvenlik açığının aktif saldırılarda kullanıldığı bildirilmektedir.
ESET araştırmacıları, WinRAR yazılımında CVE-2025-8088 koduyla kayıtlı yeni bir güvenlik açığı keşfetti. Bu açık, Rusya ile bağlantılı RomCom hacker grubunun hedefli saldırılarında kullanarak Windows sistemlerinde uzaktan kod çalıştırma yetkisi sağlamaktadır.
CVE-2025-8088, özellikle hedefli saldırılarda kullanılan bir güvenlik açığı olarak tanımlanmaktadır. ESET’e göre saldırganlar, özel olarak tasarlanmış RAR arşivleri aracılığıyla kullanıcı sistemlerine zararlı dosyalar yerleştirebiliyor. Bu dosyalar, genellikle Windows’un Başlangıç klasörlerine yerleştiriliyor ve sistem açılışında otomatik olarak çalıştırılıyor. Böylece kullanıcı zararlı yazılımın yüklenmesinden habersiz kalıyor ve saldırganlar hem veri çalabiliyor hem de sistemde kalıcı erişim elde edebiliyor.
Araştırmacılar Anton Cherepanov, Peter Košinár ve Peter Strýček, bu açığın kimlik avı kampanyalarında yaygın bir şekilde kullanıldığını belirtmiştir. Saldırılarda genellikle e-posta ekleri veya güvenilir görünen bağlantılar tercih edilmektedir. Kullanıcı, zararlı RAR dosyasını açtığında süreç başlamaktadır. Bu yöntem, işletim sisteminin dosya yolunu manipüle ederek yetkisiz konumlara veri yazılmasını sağlamaktadır.
WinRAR 7.13 güncellemesiyle güvenlik açığı kapatıldı
WinRAR’ın otomatik güncelleme sistemi bulunmadığı için 7.13 sürümünün manuel olarak indirilmesi ve kurulması gerekmektedir. Eğer güncelleme uygulanmazsa, CVE-2025-8088 açığı saldırganlar tarafından hâlâ kullanılmaya devam edebilir. ESET, bu zafiyetin Windows dışındaki sistemlerde -örneğin Unix ve Android tabanlı RAR uygulamalarında- bulunmadığını belirtmektedir. Ayrıca, güncelleme yapılana kadar bilinmeyen kaynaklardan gelen arşiv dosyalarının açılmaması önemle önerilmektedir.
RomCom grubu, Storm-0978, Tropical Scorpius ve UNC2596 isimleriyle de tanınmaktadır. Geçmişte fidye yazılımı, casusluk faaliyetleri ve veri hırsızlığı içeren birçok saldırıya imza atmışlardır. CVE-2025-8088 açığı, bu grubun kimlik avı operasyonlarında yeni bir yöntem olarak öne çıkmaktadır. ESET, saldırıların özellikle devlet kurumları ve büyük ölçekli şirketleri hedef aldığını rapor etmektedir.
Açığın teknik detayları arasında “dizin izinsiz geçiş” (path traversal) zafiyeti dikkat çekmektedir. Bu yöntemle saldırganlar, dosyaları kullanıcının seçmediği klasörlere çıkarabilirler. Özellikle Windows’un otomatik başlatma klasörlerinin hedef alınması, sistem açıldığında zararlı kodun çalıştırılabilmesine olanak sağlamaktadır. Güvenlik uzmanları, bu tür açıkların yazılım bileşenlerinin arşiv işleme sürecinde güvenlik kontrollerinin eksik olmasından kaynaklandığını vurgulamaktadır.
ESET ve WinRAR geliştiricileri, kullanıcıların derhal en güncel sürüme geçmelerini tavsiye etmektedir. Bunların yanı sıra, e-posta yoluyla gelen dosyaların kaynağının doğrulanmadan açılmaması gerektiği vurgulanmaktadır. 7.13 sürümünün indirilebilir bağlantısı WinRAR’ın resmi internet sitesinde yer almakta ve kullanıcıların güncellemeyi ertelemeden uygulamaları istenmektedir.
