Dosya sıkıştırma yazılımı WinRAR'da, Windows bilgisayarlara arka kapı zararlı yazılımı bulaştırabilen yeni bir güvenlik açığı ortaya çıktı. Güvenlik araştırmacıları tarafından keşfedilen ve CVE-2025-8088 olarak takip edilen bu sıfır gün (zero-day) açığının, Rusya bağlantılı RomCom adlı hacker grubu tarafından aktif olarak kullanıldığı belirtiliyor.
Bu güvenlik açığı, zararlı arşivlerin dosyaları saldırganın belirlediği konumlara yerleştirmesine olanak tanıyan bir dizin geçişi (directory traversal) hatası olarak sınıflandırılıyor. Saldırganlar, bu zafiyeti kullanarak zararlı yürütülebilir dosyaları, Windows Başlangıç klasörü gibi otomatik çalışan dizinlere yerleştirebiliyorlar. Bu sayede, bilgisayar yeniden başlatıldığında zararlı yazılımlar otomatik olarak çalışarak saldırganlara uzaktan komut çalıştırma imkanı tanıyor.
Güvenlik firması ESET'ten yapılan açıklamalara göre, RomCom grubunun, WinRAR'daki bu açığı kullanarak oltalama (phishing) saldırılarıyla zararlı arşivler aracılığıyla arka kapı zararlı yazılımları yaydığı gözlemlenmiş.
RomCom olarak da bilinen ve Storm-0978, Tropical Scorpius gibi farklı isimlerle de anılan bu grup, siber suç ve siber casusluk faaliyetleriyle biliniyor ve Rusya ile ilişkilendiriliyor. 2022'nin ortalarından bu yana özellikle Ukrayna'daki devlet, ordu, enerji ve su altyapısı gibi kritik sektörleri hedef alan grup, son dönemde faaliyet alanını ABD, Avrupa ve Ukrayna ile ilgili insani çabalara odaklanan uluslararası kuruluşları da kapsayacak şekilde genişlettiği ifade ediliyor.
Açık Giderildi: Acil Güncelleme Yapılması Öneriliyor
Bu kritik güvenlik açığı, WinRAR'ın 7.13 sürümüyle birlikte giderildi. Yayınlanan bilgilere göre, WinRAR'ın önceki sürümlerini kullanarak bir dosyayı açan kullanıcılar, özel olarak hazırlanmış arşivler aracılığıyla dosyanın beklenmedik yerlere çıkarılmasını sağlayabiliyorlar. Bu durum, saldırganların yetkisiz dosya yerleştirmelerine imkan tanıyordu.
WinRAR'ın otomatik güncelleme özelliği bulunmadığı için kullanıcıların yazılımı manuel olarak güncellemesi büyük önem taşıyor. Bu güvenlik açığının Unix sürümleri, Android için WinRAR ve ilgili kütüphaneleri etkilemediği belirtildi.
Daha önce de Haziran ayında, benzer bir dizin geçişi güvenlik açığının keşfedildiği ve raporlandığı hatırlatılıyor. Bu açık da dosya yollarının yanlış işlenmesiyle ilgiliydi ve saldırganların arşiv çıkarma sınırlarını aşarak dosyaları istenmeyen konumlara yerleştirmesine neden oluyordu.
