تم اكتشاف ثغرة أمنية خطيرة من نوع “يوم الصفر” في أداة ضغط الملفات الشهيرة “وينرار”، والتي استغلها مجموعة التهديدات المرتبطة بروسيا والمعروفة باسم “روم كوم”. تم اكتشاف هذه الثغرة في 18 يوليو 2025، وهي معروفة الآن بالرمز CVE-2025-8088. تتضمن هذه الثغرة ثغرة في مسار الاجتياز تستخدم تدفقات البيانات البديلة لإخفاء ونشر الملفات الضارة أثناء استخراج الأرشيف، مما يسمح للمهاجمين بتثبيت أبواب خلفية دون علم المستخدم.
أفاد باحثو ESET أن هذه هي المرة الثالثة على الأقل التي تستخدم فيها “روم كوم” مثل هذه الثغرات كسلاح. تؤثر الثغرة على إصدارات “وينرار” حتى الإصدار 7.12، بما في ذلك مكونات مثل UnRAR.dll. تمكن هذه الثغرة المهاجمين من إنشاء أرشيفات ذات هياكل دليل معدلة، مما يسمح بوضع ملفات تنفيذية في أدلة حساسة، مما قد يؤدي إلى تصعيد الامتيازات والاستمرارية على الأنظمة المتأثرة.
مجموعة “روم كوم”، المعروفة أيضًا باسم Storm-0978، لديها تاريخ في الجمع بين الجريمة الإلكترونية والتجسس. في حملتهم الأخيرة، من 18 إلى 21 يوليو 2025، استهدفوا شركات في قطاعات مثل المالية والدفاع في جميع أنحاء أوروبا وكندا من خلال رسائل بريد إلكتروني تصيدية متنكرة في شكل طلبات توظيف. تم استخدام ملفات RAR الضارة، التي تبدو كوثائق غير ضارة، لتجاوز مسارات الاستخراج المحددة من قبل المستخدم، مما مكن من نشر البرمجيات الخبيثة وإجراء اتصالات القيادة والتحكم.
ينصح المستخدمون بشدة بالترقية إلى الإصدار 7.13 من “وينرار” أو إصدار أحدث لتقليل المخاطر. يعالج التحديث ثغرة اجتياز الدليل ويختلف عن الثغرات السابقة. بينما تظل إصدارات Unix من RAR والبرامج ذات الصلة غير متأثرة، يجب على مستخدمي Windows فحص الملفات المضغوطة باستخدام حلول أمنية محدثة وتقييد امتيازات الأرشيف لتقليل سطح الهجوم.
