I ricercatori di ESET hanno pubblicato un rapporto sull’attacco a WinRAR.

Il report iillustra in dettaglio come una recente falla di tipo path traversal in WinRAR, nota come CVE-2025-8088, sia al centro di uno sfruttamento di vulnerabilità zero-day da parte del gruppo di hacker russo RomCom, volto a diffondere diversi payload malware.

”WinRAR non è un pezzo di antiquariato digitale, è una bomba rimasta in casa per decenni”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.

Basta aprire un file in archivio per subire un attacco a WinRAR che sfrutta una falla zero-day che permette di rilasciare file eseguibili all’estrazione di archivi RAR. L’esecuzione si verifica al login o all’avvio di app legittime come Edge. Occorre aggiornare prima possibile per mitigare il rischio.

Attacco WinRAR: cosa bisogna sapere

RomCom (noto anche come Storm-0978 e Tropical Scorpius) è un gruppo russo dedito allo spionaggio informatico, che ha alle spalle una storia di sfruttamento zero-day, tra cui Firefox (CVE-2024-9680, CVE-2024-49039) e Microsoft Office (CVE-2023-36884).

Eset ha scoperto che RomCom stava sfruttando una vulnerabilità zero-day non documentata di tipo path traversal in WinRAR il 18 luglio 2025 e ha informato il team responsabile del popolare strumento di archiviazione.

“L’analisi dell’exploit ha portato alla scoperta della vulnerabilità, ora assegnata CVE-2025-8088: una vulnerabilità di tipo path traversal, resa possibile dall’uso di flussi di dati alternativi. Dopo una notifica immediata, WinRAR ha rilasciato una versione patchata il 30 luglio 2025”, ha spiegato un nuovo rapporto pubblicato oggi da Eset.

I dettagli

Eset ha confermato l’attività dannosa a BleepingComputer alla fine della scorsa settimana, che si ritiene sia stata utilizzata per estrarre eseguibili pericolosi nei percorsi di esecuzione automatica quando un utente apre un archivio appositamente creato.

La vulnerabilità era simile a un altro bug di traversal path in WinRAR, rivelato un mese prima, tracciato come CVE-2025-6218.

Il rapporto di ESET spiega che gli archivi RAR dannosi includono numerosi payload ADS (Alternate Data Stream) nascosti. Si utilizzano per celare una DLL malevola e un collegamento di Windows, da estrarre in cartelle specifiche dall’autore dell’attacco, nel momento in cui le vittime aprono l’archivio.

Molte delle voci ADS sono relative a percorsi non validi, che ESET ritiene siano aggiunte deliberate, al fine di generare avvisi WinRAR apparentemente innocui, nascondendo al contempo la presenza dei percorsi dei file DLL, EXE e LNK dannosi più in profondità nell’elenco dei file.

Come proteggersi

WinRAR ha rilasciato una correzione per la falla, a cui è stato assegnato l’identificatore CVE-2025-8088, il 30 luglio 2025, con la versione 7.13. Occorre aggiornare quanto prima, sebbene, nell’avviso allegato, non si faccia menzione di uno sfruttamento attivo.

“La vulnerabilità può anche essere inevitabile, ma la verità è che non è mai la tecnologia a fare la figura peggiore: siamo noi. Perché il bug si corregge, l’incapacità di aggiornare no. E a quel punto non sei una vittima, sei il complice della tua stessa disfatta”, conclude Sandro Sana.