Allarme WinRAR: perché la falla CVE-2025-8088 fa ancora paura

Le cronache di sicurezza informatica registrano una preoccupante continuità nelle operazioni offensive che prendono di mira WinRAR, uno dei software di gestione archivi più diffusi al mondo.

Al centro dell'attenzione vi è la vulnerabilità tracciata come CVE-2025-8088, un difetto di gravità elevata che consente l'esecuzione di codice arbitrario tramite una tecnica nota come path traversal. Nonostante le segnalazioni iniziali risalgano all'agosto 2025, quando i ricercatori di ESET individuarono i primi abusi zero-day, le attività ostili non accennano a diminuire. Un recente rapporto del Google Threat Intelligence Group (GTIG) evidenzia come, a distanza di mesi, molteplici attori delle minacce stiano ancora utilizzando attivamente questa porta di servizio per compromettere i sistemi.

Il path traversal è una falla di sicurezza che consente a un utente malintenzionato di evadere dai confini della cartella in cui dovrebbe trovarsi per esplorare aree riservate del computer o del server. Se un software non è programmato per bloccare i comandi specifici negli input, un hacker può inserire comandi nel codice per risalire l'albero delle directory fino a raggiungere la radice del disco o altre aree sensibili. Da lì, diventa possibile accedere a file critici, come password di sistema o dati personali, che dovrebbero restare invisibili.

La falla CVE-2025-8088 è ancora sfruttata su WinRAR

Il meccanismo alla base dell'attacco su WinRAR sfrutta gli Alternate Data Streams (ADS) per scrivere file dannosi in posizioni arbitrarie del sistema operativo, spesso mirando alla cartella di avvio di Windows per garantire la persistenza del malware al riavvio. La catena di infezione si innesca in modo ingannevole: l'utente visualizza all'interno dell'archivio un documento esca, apparentemente innocuo come un PDF, ma l'apertura del file attiva l'estrazione di payload nascosti (spesso script .bat, .cmd o file .lnk). La tecnica risulta efficace poiché maschera la reale natura dell'attacco dietro icone familiari, inducendo la vittima ad abbassare la guardia.

Gruppi sponsorizzati da stati nazionali utilizzano la falla per condurre operazioni mirate, con un focus particolare sul conflitto in Ucraina. Tra questi figura UNC4895, noto anche come RomCom, che distribuisce il malware NESTPACKER tramite email di spearphishing dirette a unità militari ucraine. Anche APT44 e il gruppo Turla sfruttano temi legati all'esercito di Kiev per veicolare i propri strumenti di intrusione. Non mancano all'appello attori legati alla Cina, osservati mentre impiegano l'exploit per distribuire la backdoor POISONIVY.

Parallelamente allo spionaggio, fiorisce il crimine a scopo di lucro. Hacker motivati finanziariamente adottano la medesima vulnerabilità per diffondere strumenti di accesso remoto e info-stealer come XWorm e AsyncRAT, oltre a backdoor controllate via Telegram ed estensioni bancarie malevole. La disponibilità di questi strumenti è facilitata da un mercato nero fiorente: fornitori specializzati, come l'utente noto con l'alias "zeroplayer", vendono exploit pronti all'uso, con prezzi che per altre vulnerabilità critiche possono oscillare tra gli 80.000 e i 300.000 dollari.

Tale mercificazione riduce drasticamente le competenze necessarie per condurre attacchi sofisticati, permettendo di colpire rapidamente i sistemi non ancora aggiornati.