Sistemas afectados
WinRAR para Windows versiones menores a 7.12.
I. Descripción
Se ha detectado la vulnerabilidad CVE‑2025‑8088 en las versiones de WinRAR para Windows (hasta la 7.12), que permite a atacantes remotos ejecutar código arbitrario manipulando rutas durante la descompresión de archivos RAR especialmente diseñados.
II. Impacto
La falla se basa en una travesía de directorios (CWE‑35), aprovechando flujos de datos alternativos (ADS) en archivos RAR que contienen rutas como …/…//, lo que permite que archivos maliciosos se extraigan fuera del directorio deseado.
Durante la extracción:
Se colocan DLL maliciosos en %TEMP% o %LOCALAPPDATA%.
Se generan accesos directos (.lnk) en la carpeta de inicio automático de Windows para garantizar persistencia.
A pesar de que WinRAR muestra advertencias sobre rutas inválidas, los atacantes las disimulan entre muchos mensajes aparentemente inocuos.
III. Referencia a soluciones, herramientas e información
Actualizar: Instalar WinRAR versión 7.13 o superior, que corrige esta vulnerabilidad. También actualizar cualquier componente basado en UnRAR.dll.
Educar al personal: Alertar sobre correos sospechosos, especialmente con RAR adjuntos con nombres como “CV” o “resumé”.
Restringir las rutas de extracción: Configurar WinRAR para que solo extraiga en carpetas con permisos limitados.
Monitoreo activo: Detectar accesos directos .lnk inesperados en autostart, DLLs en %TEMP%, y conexiones salientes a dominios desconocidos.
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: incidentes@cert.pa
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Key ID: 16F2B124