Na forumima na tamnoj mreži navodno se prodaje nulta-dnevna eksploatacija za WinRAR po cijeni od 80.000 dolara.
Haker pod nadimkom “zeroplayer” oglasio je ranije nepoznatu eksploataciju za daljinsko izvršavanje koda (RCE) za WinRAR na podzemnom forumu. Prema izvještaju ThreatMon-a, post pod naslovom “WINRAR RCE 0DAY – 80.000$,” tvrdi da greška radi “u potpunosti na najnovijoj verziji WinRAR-a i starijim verzijama”, nije povezana s nedavno zakrpljenom CVE-2025-6218 te je dostupna isključivo putem escrow (“Garant”) usluge foruma po cijeni od 80.000 američkih dolara.
Otkriće naglašava trajnu privlačnost WinRAR-a – uslužnog programa instaliranog na stotinama milijuna krajnjih točaka sustava Windows – kao visoko cijenjene mete za cyber-kriminalce.
Dok je “zeroplayer” držao detalje koncepta dokaza (PoC), prethodni lanci RCE eksploatacija za WinRAR pružaju uvid u potencijalne puteve eksploatacije. Povijesno, napadači su iskorištavali logiku analize formata datoteka WinRAR-a, posebno unutar UNACEV2.dll ili izrađenih .RAR / .ZIP arhiva, kako bi izazvali oštećenje memorije. Tipičan tijek eksploatacije uključuje: izradu arhiva – napadač ugrađuje neispravne zaglavlja ili predugačka imena datoteka (0x414141…) za oštećenje stoga ili hrpe; faziranje tereta – mali dio ljuske postavlja EIP na kontroliranu adresu, a zatim preuzima veći teret; eskalacija privilegija / upornost – napadači često postavljaju binarne datoteke u %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ za automatsko izvršavanje pri prijavi, ili koriste ključeve za COM otmicu kao što je HKCU\Software\Classes\mscfile\Shell\Open\Command.
Ako eksploatacija “zeroplayera” zaobiđe trenutne DEP/ASLR zaštite WinRAR-a, mogla bi omogućiti pouzdano izvršavanje koda na potpuno zakrpljenim sistemima Windows 11 s zadanim postavkama – noćna mora za branitelje. Svemogućnost WinRAR-a u poduzećima, u kombinaciji sa redovitom upotrebom komprimiranih privitaka putem e-pošte, nudi gotovo besprijekoran kanal isporuke za prijetnje. Značajno je da su APT grupe kao što su APT40 i Sandworm ranije iskoristile slabosti u analizi WinRAR-a za implementaciju DarkMe, BitterRAT i UAC-0050 implantata tijekom kampanja ciljanog ribarenja. Isplativa nulta-dnevna eksploatacija po cijeni od 80.000 dolara stoga predstavlja: brokeri Crimeware-as-a-Service (CaaS) mogli bi iskoristiti grešku u mamce nalik maldoc-u, slično kampanjama CVE-2019-0969; serveri za izgradnju softvera koji automatski raspakuju arhive trećih strana primarni su sekundarni ciljevi; posrednici za početni pristup mogli bi kupiti eksploataciju, uspostaviti uporišta, a zatim prodati pristup izvođačima ransomware-a na dražbi, skraćujući vrijeme zadržavanja s tjedana na sate. Sigurnosni timovi trebali bi pratiti nenormalno ponašanje raspakiranja arhiva, implementirati virtualno zakrpljivanje putem potpisa sustava za sprječavanje upada i pripremiti se za izvanredna ažuriranja dobavljača. Dok se ne pojavi popravak, cyber-higijena oko nepouzdanih arhiva ostaje najvažnija.
