O WinRAR, um dos utilitários de compactação mais populares do mundo, foi alvo de uma grave falha de segurança de dia zero (zero-day) que já está sendo usada em ataques reais.
A vulnerabilidade, identificada como CVE-2025-8088, recebeu pontuação 8.8 no CVSS e está relacionada a um problema de travessia de diretório (path traversal) na versão para Windows. Na prática, isso significa que, ao explorar a falha, um invasor pode executar código malicioso no computador da vítima por meio de arquivos RAR especialmente manipulados.
🔍 Como a falha funciona
Segundo comunicado oficial do WinRAR, versões anteriores ao patch podiam ser induzidas a extrair arquivos para caminhos diferentes dos definidos pelo usuário, permitindo que código malicioso fosse escrito em locais estratégicos do sistema.
A vulnerabilidade foi descoberta pelos pesquisadores Anton Cherepanov, Peter Kosinar e Peter Strycek, da ESET, e corrigida na versão WinRAR 7.13, lançada em 31 de julho de 2025.
🎯 Quem está explorando a falha?
Embora a origem de todos os ataques ainda não seja confirmada, a empresa russa de cibersegurança BI.ZONE aponta o grupo Paper Werewolf (também chamado de GOFFEE) como provável responsável.
O relatório indica que os criminosos podem ter comprado o exploit de um hacker conhecido como zeroplayer, que o anunciava por US$ 80 mil em um fórum russo na dark web.
Para potencializar o impacto, o grupo teria combinado a CVE-2025-8088 com outra vulnerabilidade similar (CVE-2025-6218), corrigida em junho de 2025.
📩 Método de ataque
Os ataques identificados pela BI.ZONE ocorreram em julho de 2025, tendo como alvo organizações russas. O vetor inicial foi phishing via e-mail, com anexos disfarçados.
Quando o arquivo malicioso era extraído, ele escrevia payloads fora do diretório previsto, como na pasta de inicialização do Windows — garantindo que o malware fosse executado na próxima reinicialização do sistema. Enquanto isso, um documento falso era exibido para não levantar suspeitas.
Entre as cargas maliciosas encontradas, estava um loader .NET que coletava informações do sistema e estabelecia comunicação com um servidor de controle por meio de um reverse shell.
⚠️ Impacto e recomendações
Todas as versões do WinRAR até a 7.12 estão vulneráveis. A recomendação é atualizar imediatamente para a versão 7.13 ou superior para se proteger.
Além disso, vale destacar que o 7-Zip — outro software de compactação muito usado — também corrigiu recentemente uma falha crítica (CVE-2025-55188) que poderia permitir a sobrescrita de arquivos sensíveis em sistemas Unix, como chaves SSH ou arquivos de configuração. O problema foi resolvido na versão 25.01.
💡 Resumo da prevenção:
- Atualize imediatamente o WinRAR para a versão 7.13.
- Se usar o 7-Zip, atualize para a versão 25.01.
- Desconfie de arquivos recebidos por e-mail, mesmo de remetentes conhecidos.
- Mantenha seu antivírus ativo e atualizado.
A segurança digital começa pela prevenção — e, neste caso, a atualização é a sua melhor defesa.
