CVE-2025-8088: Vulnerabilidad crítica Zero-Day en WinRAR

CVE-2025-8088: Vulnerabilidad Zero-Day en WinRAR

Gravedad: Alta (CVSS 8.4)
Tipo: Traversal de rutas (path traversal) con ejecución de código arbitrario
Fecha de descubrimiento: 31 de julio a 13 de agosto de 2025
Estado: Explotación activa confirmada, campañas dirigidas y parche disponible
Versiones afectadas: WinRAR anterior a 7.13 (incluye WinRAR v7.12, UnRAR.dll y herramientas de línea de comandos para Windows)
No afecta: versiones Unix/Linux, RAR para Android

Descripción técnica

CVE-2025-8088 es una vulnerabilidad de traversal de rutas (CWE-35) que afecta a la versión de WinRAR para Windows, permitiendo a los atacantes extraer archivos maliciosos fuera del directorio elegido por el usuario, incluyendo ubicaciones sensibles del sistema. Mediante el uso creativo de Alternate Data Streams (ADS) en archivos comprimidos especialmente construidos, el atacante engaña a WinRAR para depositar y ejecutar archivos maliciosos en ubicaciones clave (%TEMP%, StartUp), logrando la ejecución automática de código al iniciar sesión el usuario.

Campañas de explotación y actores implicados

Explotación activa por RomCom y Paper Werewolf desde julio 2025, principalmente en Europa, Canadá y Rusia.
Los ataques se han realizado mediante spearphishing: emails que simulan contener CVs de candidatos y adjuntan archivos RAR aparentemente benignos.
Los archivos maliciosos despliegan DLLs, backdoors (SnipBot, RustyClaw, Mythic agent), y accesos persistentes (.lnk en StartUp).
El exploit circulaba por foros criminales desde junio de 2025 por $80,000.
Las campañas buscaban espionaje corporativo y persistencia en sistemas de defensa, fabricación, logística y finanzas.
La persistencia se consigue colocando accesos directos maliciosos en el directorio de autoinicio para que el código se ejecute automáticamente al comenzar sesión.

Impacto

Permite a atacantes ejecutar código arbitrario en sistemas Windows vulnerables.
La víctima solo necesita abrir/extractar el archivo RAR malicioso, sin advertencias de WinRAR.
Pueden instalarse malware persistente, ransomware o spyware fuera de la carpeta destino de extracción.
Explotación comprobada en entornos empresariales de alto valor estratégico.

Detección y mitigación

Actualizar a WinRAR 7.13 o superior inmediatamente.
Todas las versiones anteriores a 7.13 (v7.12 y previas) para Windows — incluida UnRAR.dll — son vulnerables.
Administradores pueden escanear con módulos como QID 383966 (Qualys) o plugins equivalentes en Tenable y Tanium.
CISA ha incluido la vulnerabilidad en su catálogo KEV y urge el parcheo antes del 2 de septiembre de 2025.
No existen mitigaciones parciales; la única defensa efectiva es actualizar WinRAR. No abrir archivos de fuentes dudosas.

Tabla resumen técnica

Aspecto	Detalle
CVE	CVE-2025-8088
Tipo	Traversal de rutas con ejecución de código (path traversal + RCE)
Explotación activa	Sí (RomCom, Paper Werewolf), campañas confirmadas desde julio 2025
Impacto	Ejecución automática de código malicioso, persistencia y espionaje
Severidad (CVSS)	8.4–8.8 (alta)
Sistemas vulnerables	WinRAR < 7.13 para Windows y componentes asociados
Parche disponible	WinRAR 7.13, publicado el 31 de julio de 2025
Mitigación	Actualizar WinRAR, no abrir archivos no verificados

Recomendación urgente:
Actualiza WinRAR a la versión 7.13 de inmediato.
Si usas WinRAR en Windows, verifica que no se hayan extraído archivos fuera de la ubicación elegida y busca accesos directos sospechosos en %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup. Si sospechas compromiso, realiza análisis forense y revoca credenciales afectadas.