Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong WinRAR phiên bản Windows, đặt hàng trăm triệu người dùng toàn cầu trước nguy cơ bị tấn công. Lỗ hổng này đã bị tin tặc khai thác trong các phishing attack có chủ đích, cho phép cài đặt malware chạy tự động mỗi khi máy tính khởi động. Các chuyên gia ESET cảnh báo người dùng cần update ngay lập tức để giảm thiểu rủi ro.
Cách thức khai thác và tác động của lỗ hổng
Được định danh CVE-2025-8088, đây là một path traversal cho phép kẻ tấn công tạo tệp nén độc hại có thể giải nén ra ngoài thư mục đích mà người dùng chỉ định. Từ đó, tin tặc có thể chèn tệp vào các vị trí nhạy cảm của hệ thống, bao gồm Windows startup cho từng tài khoản hoặc toàn bộ người dùng.
Khi malware nằm trong thư mục này, nó sẽ tự động chạy mỗi khi máy khởi động, giúp kẻ tấn công duy trì quyền kiểm soát lâu dài. Lỗ hổng ảnh hưởng đến WinRAR, RAR, UnRAR, Portable UnRAR và UnRAR.dll trên Windows, không tác động tới Unix hay Android.
Nhóm tấn công và biện pháp khắc phục
Các nhà nghiên cứu từ ESET – Anton Cherepanov, Peter Košinár, Peter Strýček – xác định nhóm RomCom malware(hay Storm-0978, Tropical Scorpius, UNC2596) đã khai thác lỗ hổng trong các chiến dịch phishing attack qua email. Khi nạn nhân mở tệp RAR độc hại bằng WinRAR phiên bản cũ, malware RomCom sẽ được cài đặt để đánh cắp dữ liệu, cài thêm phần mềm nguy hiểm và duy trì quyền truy cập bí mật.
RomCom liên quan đến các chiến dịch gián điệp mạng nói tiếng Nga, chuyên khai thác lỗ hổng chưa công bố để tấn công gián điệp và ransomware. Chúng sử dụng mã hóa liên lạc, ẩn mình trong công cụ hợp pháp và né tránh hệ thống phòng thủ.
Phiên bản WinRAR 7.13 Final phát hành ngày 30/7/2025 đã chặn khả năng giải nén ra ngoài thư mục chỉ định và sửa lỗi liên quan. Tuy nhiên, WinRAR không tự động cập nhật, người dùng cần tải thủ công từ trang chính thức.
Tóm lại: Với hơn 500 triệu người dùng, WinRAR là mục tiêu hàng đầu của tội phạm mạng. Đây không phải lần đầu phần mềm này gặp lỗ hổng bảo mật nghiêm trọng – đầu năm 2025, một lỗi liên quan malicious archive cũng từng được vá. Các chuyên gia khuyến nghị luôn update WinRAR, cảnh giác khi mở tệp đính kèm, dùng antivirus có khả năng quét tệp nén, và thường xuyên kiểm tra Windows startup để phát hiện bất thường.