-
09/04/2020
-
112
-
1.102 bài viết
Lỗ hổng Zero-day trên WinRAR: Khi file nén có thể biến thành “cửa hậu” cho hacker
Hai lỗ hổng trong phần mềm giải nén WinRAR vừa được vá nhưng các chuyên gia cảnh báo nhiều người dùng vẫn đang gặp nguy hiểm vì chưa kịp cập nhật. Người dùng WinRAR cần cập nhật ngay phiên bản mới nhất để tránh bị khai thác.
Hai lỗ hổng bảo mật vừa được phát hiện trong phần mềm WinRAR (CVE-2025-8088 và CVE-2025-6218) cho phép tin tặc thực thi mã độc từ xa (RCE) và cài cắm phần mềm độc hại ngay khi người dùng mở hoặc giải nén tệp tin nén có chứa mã độc.
Lỗ hổng CVE-2025-8088, lỗ hổng này đã bị tin tặc lợi dụng để cài đặt phần mềm gián điệp RomCom trong các chiến dịch tấn công lừa đảo. WinRAR là phần mềm giải nén được sử dụng rộng rãi trên máy tính Windows. Tuy nhiên, ở các phiên bản trước 7.13, phần mềm này tồn tại một lỗi cho phép file nén được thiết kế đặc biệt “chui” vào những vị trí nhạy cảm trong hệ thống mà người dùng không hề hay biết.
Lỗ hổng CVE-2025-6218, cũng khiến hàng triệu người dùng máy tính đối mặt với nguy cơ bị tấn công từ xa. Lỗ hổng này nằm trong cách WinRAR xử lý đường dẫn thư mục khi giải nén, cho phép kẻ tấn công tạo ra những tệp nén chứa các đường dẫn bất thường. Khi người dùng vô tình giải nén, các tệp độc hại có thể được chèn vào ngoài thư mục mong muốn, thậm chí nằm trong các khu vực nhạy cảm như thư mục khởi động của hệ thống. Điều này mở đường cho mã độc tự động kích hoạt khi máy tính khởi động, từ đó chiếm quyền kiểm soát và cấy backdoor vào hệ thống.
Theo nhà nghiên cứu của công ty bảo mật ESET, kẻ tấn công có thể lợi dụng các lỗi này để đặt file độc hại vào thư mục Startup của Windows. Khi đó, mỗi lần máy tính khởi động, file độc hại sẽ tự chạy giúp tin tặc chiếm quyền điều khiển và đánh cắp dữ liệu.
Theo các nhà nghiên cứu, lỗ hổng này bị khai thác bởi nhóm tin tặc RomCom, còn được biết đến với các tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596. Nhóm này được cho là từng tham gia nhiều chiến dịch tấn công tống tiền (ransomware) và đánh cắp thông tin.
Trong chiến dịch mới nhất, RomCom gửi email giả mạo (spear-phishing) kèm file nén RAR chứa mã khai thác. Khi người nhận giải nén, mã độc RomCom sẽ được cài đặt để bí mật theo dõi và kiểm soát máy tính.
Vì sao các lỗ hổng này nguy hiểm?
Các chuyên gia khuyến cáo người dùng:
Hai lỗ hổng bảo mật vừa được phát hiện trong phần mềm WinRAR (CVE-2025-8088 và CVE-2025-6218) cho phép tin tặc thực thi mã độc từ xa (RCE) và cài cắm phần mềm độc hại ngay khi người dùng mở hoặc giải nén tệp tin nén có chứa mã độc.
Lỗ hổng CVE-2025-8088, lỗ hổng này đã bị tin tặc lợi dụng để cài đặt phần mềm gián điệp RomCom trong các chiến dịch tấn công lừa đảo. WinRAR là phần mềm giải nén được sử dụng rộng rãi trên máy tính Windows. Tuy nhiên, ở các phiên bản trước 7.13, phần mềm này tồn tại một lỗi cho phép file nén được thiết kế đặc biệt “chui” vào những vị trí nhạy cảm trong hệ thống mà người dùng không hề hay biết.
Lỗ hổng CVE-2025-6218, cũng khiến hàng triệu người dùng máy tính đối mặt với nguy cơ bị tấn công từ xa. Lỗ hổng này nằm trong cách WinRAR xử lý đường dẫn thư mục khi giải nén, cho phép kẻ tấn công tạo ra những tệp nén chứa các đường dẫn bất thường. Khi người dùng vô tình giải nén, các tệp độc hại có thể được chèn vào ngoài thư mục mong muốn, thậm chí nằm trong các khu vực nhạy cảm như thư mục khởi động của hệ thống. Điều này mở đường cho mã độc tự động kích hoạt khi máy tính khởi động, từ đó chiếm quyền kiểm soát và cấy backdoor vào hệ thống.
Theo nhà nghiên cứu của công ty bảo mật ESET, kẻ tấn công có thể lợi dụng các lỗi này để đặt file độc hại vào thư mục Startup của Windows. Khi đó, mỗi lần máy tính khởi động, file độc hại sẽ tự chạy giúp tin tặc chiếm quyền điều khiển và đánh cắp dữ liệu.
Theo các nhà nghiên cứu, lỗ hổng này bị khai thác bởi nhóm tin tặc RomCom, còn được biết đến với các tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596. Nhóm này được cho là từng tham gia nhiều chiến dịch tấn công tống tiền (ransomware) và đánh cắp thông tin.
Trong chiến dịch mới nhất, RomCom gửi email giả mạo (spear-phishing) kèm file nén RAR chứa mã khai thác. Khi người nhận giải nén, mã độc RomCom sẽ được cài đặt để bí mật theo dõi và kiểm soát máy tính.
Vì sao các lỗ hổng này nguy hiểm?
- Đã bị khai thác trước khi vá lỗi, người dùng chưa cập nhật có thể đã bị nhiễm.
- Không cần nhiều thao tác, chỉ cần giải nén file, mã độc sẽ tự kích hoạt khi khởi động máy.
- Độ phổ biến toàn cầu của WinRAR, được dùng ở khắp nơi, từ cá nhân đến doanh nghiệp, nhưng lại không có tính năng tự động cập nhật.
Các chuyên gia khuyến cáo người dùng:
- Tải và cài đặt WinRAR 7.13 từ trang chính thức win-rar.com.
- Không mở file nén RAR từ nguồn không rõ ràng.
- Bật chế độ hiển thị phần mở rộng file để dễ nhận diện file thực thi.
- Sử dụng phần mềm bảo mật đáng tin cậy để phát hiện hành vi bất thường.
- Cảnh giác với email đính kèm, kể cả từ người quen vì tài khoản có thể đã bị chiếm đoạt.
- Tăng cường giám sát an ninh mạng, thường xuyên kiểm tra, vá lỗ hổng bảo mật, cập nhật ngay phần mềm phiên bản mới nhất để tránh bị khai thác.
- Tuyên truyền, nâng cao nhận thức cho cán bộ, công chức, viên chức, nhân viên... về nguy cơ tấn công mạng liên quan đến tên miền và hệ thống cũ.
- Thiết lập quy trình quản lý tập trung, đồng bộ nhằm đảm bảo an toàn, an ninh mạng cho toàn bộ hạ tầng công nghệ thông tin đang quản lý, vận hành.
WhiteHat
Chỉnh sửa lần cuối: