Bắt buộc cập nhật WinRAR ! Lỗ hổng đang bị hacker khai thác ồ ạt, đã có rất nhiều người dùng dính bẫy
Mới đây, Nhóm Tình báo Đe dọa của Google (GTIG) đã phát đi cảnh báo an ninh trên phạm vi toàn cầu, cho biết một lỗ hổng nghiêm trọng của WinRAR được phát hiện từ năm 2025 (CVE-2025-8088) hiện đang bị hacker khai thác với quy mô lớn, và đã ghi nhận rất nhiều trường hợp người dùng bị tấn công.
Mặc dù nhà phát triển đã vá lỗi này trong phiên bản WinRAR 7.13, nhưng vẫn còn không ít người dùng chưa kịp cập nhật, khiến hệ thống đứng trước nguy cơ bị chiếm quyền kiểm soát hoàn toàn. Theo Google, các phiên bản WinRAR 7.12 trở về trước tồn tại một lỗ hổng nghiêm trọng, cho phép kẻ tấn công lợi dụng quá trình giải nén để ghi file sai vị trí vào các thư mục hệ thống, từ đó thực thi mã độc và giành quyền điều khiển máy tính. Lỗ hổng này có điểm CVSS 8,4/10, được xếp vào mức rủi ro cao.
Cơ chế tấn công cốt lõi dựa trên việc lợi dụng tính năng Alternate Data Streams (ADS – luồng dữ liệu thay thế) của hệ điều hành Windows để thực hiện tấn công duyệt đường dẫn (path traversal). Thông thường, hacker sẽ ẩn các file độc hại trong ADS của những file “mồi nhử” nằm trong gói nén.
Dòng thời gian khai thác đáng chú ý. Ảnh Google
Khi người dùng mở hoặc xem file mồi nhử, WinRAR sẽ âm thầm, thông qua cơ chế duyệt đường dẫn, giải nén và thả các tải trọng độc hại (như file LNK, HTA, BAT hoặc các script) vào những vị trí tùy ý trên hệ thống.
Mục tiêu được hacker lựa chọn nhiều nhất là thư mục Startup (Khởi động) của Windows, nhằm đảm bảo mã độc sẽ tự động chạy khi người dùng đăng nhập lần tiếp theo, giúp chúng tồn tại lâu dài trong hệ thống.
Google cho biết hiện nay nhiều nhóm hacker khét tiếng, bao gồm UNC4895 (RomCom), APT44 và Turla, đang tích cực khai thác lỗ hổng này.
Các cuộc tấn công chủ yếu được triển khai thông qua hình thức lừa đảo qua email có chủ đích (spear phishing), với các file RAR độc hại được ngụy trang dưới dạng “CV xin việc” hoặc “hóa đơn”. Nhiều loại backdoor trojan như Snipbot, Mythic Agent đã được phát tán và nạn nhân trải rộng trong các lĩnh vực quan trọng như tài chính, sản xuất, quốc phòng và logistics.
Do WinRAR không có cơ chế tự động cập nhật, rất nhiều người dùng có thể vẫn đang sử dụng các phiên bản cũ dễ bị tấn công. Google khuyến cáo người dùng cần chủ động nâng cấp WinRAR lên phiên bản 7.13 hoặc mới hơn để đảm bảo an toàn.
Nguồn thông tin chi tiết
cloud.google.com
Cơ chế tấn công cốt lõi dựa trên việc lợi dụng tính năng Alternate Data Streams (ADS – luồng dữ liệu thay thế) của hệ điều hành Windows để thực hiện tấn công duyệt đường dẫn (path traversal). Thông thường, hacker sẽ ẩn các file độc hại trong ADS của những file “mồi nhử” nằm trong gói nén.
Dòng thời gian khai thác đáng chú ý. Ảnh Google
Mục tiêu được hacker lựa chọn nhiều nhất là thư mục Startup (Khởi động) của Windows, nhằm đảm bảo mã độc sẽ tự động chạy khi người dùng đăng nhập lần tiếp theo, giúp chúng tồn tại lâu dài trong hệ thống.
Google cho biết hiện nay nhiều nhóm hacker khét tiếng, bao gồm UNC4895 (RomCom), APT44 và Turla, đang tích cực khai thác lỗ hổng này.
Các cuộc tấn công chủ yếu được triển khai thông qua hình thức lừa đảo qua email có chủ đích (spear phishing), với các file RAR độc hại được ngụy trang dưới dạng “CV xin việc” hoặc “hóa đơn”. Nhiều loại backdoor trojan như Snipbot, Mythic Agent đã được phát tán và nạn nhân trải rộng trong các lĩnh vực quan trọng như tài chính, sản xuất, quốc phòng và logistics.
Do WinRAR không có cơ chế tự động cập nhật, rất nhiều người dùng có thể vẫn đang sử dụng các phiên bản cũ dễ bị tấn công. Google khuyến cáo người dùng cần chủ động nâng cấp WinRAR lên phiên bản 7.13 hoặc mới hơn để đảm bảo an toàn.
WinRAR archiver, a powerful tool to process RAR and ZIP files
WinRAR is a Windows data compression tool that focuses on the RAR and ZIP data compression formats for all Windows users. Supports RAR, ZIP, CAB, ARJ, LZH, TAR, GZip, UUE, ISO, BZIP2, Z and 7-Zip
www.rarlab.com
Nguồn thông tin chi tiết
Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088 | Google Cloud Blog
Espionage and financially motivated threat actors are exploiting critical WinRAR vulnerability CVE-2025-8088.
cloud.google.com
