Mục lục
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong phiên bản WinRAR dành cho Windows, khiến chuyên gia an ninh mạng đưa ra cảnh báo khẩn yêu cầu người dùng cập nhật ngay lập tức. Lỗ hổng này, được gán mã CVE-2025-8088 và đã bị khai thác trong các cuộc tấn công phishing thực tế, cho phép tin tặc tạo các tệp nén độc hại có thể chèn dữ liệu vào những vị trí trái phép trong hệ thống – bao gồm cả thư mục Windows tự động chạy chương trình khi khởi động.
Khi các tệp độc hại bị cài vào những thư mục này, chúng sẽ tự động chạy mỗi khi máy tính khởi động lại, giúp kẻ tấn công duy trì quyền kiểm soát lâu dài mà không cần bất kỳ thao tác nào từ phía người dùng.
Cách thức khai thác và phạm vi ảnh hưởng
Bình thường, WinRAR chỉ nên giải nén tệp vào thư mục mà người dùng đã chỉ định. Tuy nhiên, lỗ hổng path traversal này cho phép tin tặc đánh lừa phần mềm, đưa tệp vào các vị trí nhạy cảm như thư mục khởi động của người dùng hoặc toàn bộ hệ thống.
Khi malware nằm tại đây, nó sẽ được thực thi tự động và có thể mở cửa hậu (backdoor), cài đặt phần mềm gián điệp hoặc các mối đe dọa khác. Vấn đề này ảnh hưởng đến các bản WinRAR và công cụ liên quan trên Windows như RAR, UnRAR, mã nguồn Portable UnRAR và thư viện UnRAR.dll. Các phiên bản trên Unix hoặc Android không bị tác động.
Nhóm tấn công đứng sau
Các nhà nghiên cứu bảo mật của ESET – Anton Cherepanov, Peter Košinár và Peter Strýček – là những người đầu tiên phát hiện ra lỗ hổng này. Họ cho biết nhóm tin tặc RomCom (còn được gọi là Storm-0978, Tropical Scorpius hoặc UNC2596) đã tích cực khai thác nó trong các chiến dịch spear-phishing.
Trong các cuộc tấn công này, nạn nhân nhận được email kèm tệp RAR nhiễm mã độc. Khi mở bằng phiên bản WinRAR cũ, tệp độc hại sẽ cài đặt RomCom malware, cho phép đánh cắp dữ liệu nhạy cảm, cài thêm malware khác và duy trì quyền truy cập bí mật lâu dài. RomCom được cho là có liên hệ với các hoạt động gián điệp mạng nói tiếng Nga, thường khai thác lỗ hổng chưa được công bố để phục vụ cả gián điệp và tấn công ransomware.
Biện pháp khắc phục và khuyến nghị
Để xử lý vấn đề, nhà phát triển WinRAR đã phát hành bản 7.13 Final vào ngày 30/7/2025. Bản cập nhật này chặn mọi nỗ lực giải nén tệp ra ngoài thư mục chỉ định, đồng thời sửa một số lỗi nhỏ khác. Tuy nhiên, WinRAR không tự động cập nhật – người dùng phải tải và cài đặt thủ công từ trang web chính thức.
Với hơn 500 triệu người dùng toàn cầu, WinRAR luôn là mục tiêu hấp dẫn của tội phạm mạng. Đây cũng không phải lần đầu phần mềm này gặp sự cố bảo mật; đầu năm 2025, một lỗ hổng khác liên quan tới tệp nén độc hại cũng đã được vá.
Các chuyên gia khuyến nghị:
- Luôn cập nhật WinRAR lên phiên bản mới nhất.
- Thận trọng khi mở tệp đính kèm email từ nguồn không rõ ràng.
- Sử dụng phần mềm diệt virus có khả năng quét tệp nén.
- Thường xuyên kiểm tra thư mục khởi động Windows để phát hiện tệp lạ.
Việc chậm trễ cập nhật có thể biến máy tính của bạn thành mục tiêu dễ dàng cho tin tặc. Với mức độ nghiêm trọng của lỗ hổng CVE-2025-8088, đây là thời điểm không thể trì hoãn việc nâng cấp.