Google’ın Threat Intelligence Group’u, 27 Ocak 2026’da WinRAR’daki CVE-2025-8088 açığının hâlâ aktif olarak istismar edildiğini ve hem devlet bağlantılı aktörler hem de siber suç grupları tarafından yaygın biçimde kullanıldığını duyurdu. Google’a göre Rusya ve Çin bağlantılı gruplar bu açığı farklı kampanyalarda başlangıç erişimi ve kalıcılık için tercih ediyor.
Açık nasıl çalışıyor?
CVE-2025-8088, Windows’taki WinRAR’da yol geçişi (path traversal) zafiyeti. Saldırganlar, arşiv içindeki sahte bir dosyanın NTFS Alternate Data Streams (ADS) bölümüne zararlı içerik gizleyip, özel hazırlanmış dizin yolu ile bu içeriği Windows’un Startup klasörüne yazdırabiliyor. Kullanıcı arşivi açtığında dosya bir sonraki oturumda otomatik çalışıyor ve sistemde kalıcılık sağlıyor. ESET’in teknik analizine göre istismar, 18 Temmuz 2025’te sahada görülmeye başladı; yöntem, çok az kullanıcı etkileşimiyle devreye girebiliyor.
RARLAB, 30 Temmuz 2025’te WinRAR 7.13 ile açığı kapattı. Etkilenenler, 7.13 öncesi Windows sürümleri ile UnRAR.dll ve taşınabilir UnRAR bileşenlerini kullanan uygulamalar. Unix/Linux ve Android sürümleri etkilenmiyor.
Kimler kullanıyor, kimler hedefte?
Google, Rusya bağlantılı UNC4895/RomCom gibi grupların Ukrayna’daki askeri ve kamu kurumlarını temalı yemlerle hedeflediğini; Çin bağlantılı bir aktörünse POISONIVY dağıtımında bu açığı kullandığını bildiriyor. Finansal motivasyonlu gruplar da otel rezervasyonu temalı oltalama e-postalarıyla AsyncRAT ve XWorm gibi zararlıları indirtiyor.
Zafiyetin ciddiyeti nedeniyle CISA, 12 Ağustos 2025’te CVE-2025-8088’i Known Exploited Vulnerabilities kataloğuna ekledi ve federal kurumlar için 2 Eylül 2025’e kadar giderim tarihi belirledi.
Önemli not: WinRAR otomatik güncellenmiyor; bu yüzden eski sürümler risk altında kalmaya devam ediyor. Güncellemeyi elle yapmak şart.
Ne yapmalı?
- WinRAR’ı hemen WinRAR 7.13’e veya daha yenisine güncelleyin; kurumsal ortamlarda eski UnRAR.dll bağımlılıklarını da tarayıp yükseltin.
- Güvenilmeyen RAR arşivlerini açmayın; e-posta güvenliği ve makro/ek kontrol politikalarını sıkılaştırın.
- Windows Startup klasörüne beklenmeyen .lnk/.cmd/.hta bırakma girişimleri için uç nokta izleme kuralları yazın; bu TTP, açığın tipik istismar adımı.
- IOC avı yapın; Google’ın paylaştığı göstergeleri kullanın.
Özetle: Yama bir süredir hazır olsa da saldırganlar yamalanmamış makineleri avlıyor. WinRAR 7.13’e geçmek ve ilgili TTP’lere odaklanan algılayıcılar kurmak, riskinizi hızla düşürmenin en kısa yolu.
Kaynak: www.techspot.com
