-
09/04/2020
-
110
-
1.021 bài viết
Lỗ hổng WinRAR CVE-2025-8088: Khi file nén có thể biến thành “cửa hậu” cho hacker
Một lỗ hổng trong phần mềm giải nén WinRAR vừa được vá, nhưng các chuyên gia cảnh báo nhiều người dùng vẫn đang gặp nguy hiểm vì chưa kịp cập nhật. Mã định danh của lỗ hổng là CVE-2025-8088, đã bị tin tặc lợi dụng để cài đặt phần mềm gián điệp RomCom trong các chiến dịch tấn công lừa đảo.
WinRAR là phần mềm giải nén được sử dụng rộng rãi trên máy tính Windows. Tuy nhiên, ở các phiên bản trước 7.13, phần mềm này tồn tại một lỗi cho phép file nén được thiết kế đặc biệt “chui” vào những vị trí nhạy cảm trong hệ thống mà người dùng không hề hay biết.
Theo nhà nghiên cứu của công ty bảo mật ESET, kẻ tấn công có thể lợi dụng lỗi này để đặt file độc hại vào thư mục Startup của Windows. Khi đó, mỗi lần máy tính khởi động, file độc hại sẽ tự chạy giúp tin tặc chiếm quyền điều khiển và đánh cắp dữ liệu.
Theo các nhà nghiên cứu, lỗ hổng này bị khai thác bởi nhóm tin tặc RomCom, còn được biết đến với các tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596. Nhóm này được cho là có liên hệ với Nga và từng tham gia nhiều chiến dịch tấn công tống tiền (ransomware) và đánh cắp thông tin.
Trong chiến dịch mới nhất, RomCom gửi email giả mạo (spear-phishing) kèm file nén RAR chứa mã khai thác. Khi người nhận giải nén, mã độc RomCom sẽ được cài đặt để bí mật theo dõi và kiểm soát máy tính.
Vì sao lỗ hổng này nguy hiểm?
Các chuyên gia khuyến cáo người dùng:
Một lỗ hổng tưởng chừng đơn giản trong phần mềm quen thuộc như WinRAR cũng có thể trở thành “cửa hậu” cho hacker nếu người dùng chủ quan. Cập nhật phần mềm kịp thời, đúng thời điểm không chỉ giúp bạn update thêm tính năng mới trong quá trình sử dụng, mà còn là lớp phòng thủ đầu tiên để bảo vệ bạn trước những mối đe dọa ngày càng tinh vi.
WinRAR là phần mềm giải nén được sử dụng rộng rãi trên máy tính Windows. Tuy nhiên, ở các phiên bản trước 7.13, phần mềm này tồn tại một lỗi cho phép file nén được thiết kế đặc biệt “chui” vào những vị trí nhạy cảm trong hệ thống mà người dùng không hề hay biết.
Theo nhà nghiên cứu của công ty bảo mật ESET, kẻ tấn công có thể lợi dụng lỗi này để đặt file độc hại vào thư mục Startup của Windows. Khi đó, mỗi lần máy tính khởi động, file độc hại sẽ tự chạy giúp tin tặc chiếm quyền điều khiển và đánh cắp dữ liệu.
Theo các nhà nghiên cứu, lỗ hổng này bị khai thác bởi nhóm tin tặc RomCom, còn được biết đến với các tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596. Nhóm này được cho là có liên hệ với Nga và từng tham gia nhiều chiến dịch tấn công tống tiền (ransomware) và đánh cắp thông tin.
Trong chiến dịch mới nhất, RomCom gửi email giả mạo (spear-phishing) kèm file nén RAR chứa mã khai thác. Khi người nhận giải nén, mã độc RomCom sẽ được cài đặt để bí mật theo dõi và kiểm soát máy tính.
Vì sao lỗ hổng này nguy hiểm?
- Đã bị khai thác trước khi vá lỗi, người dùng chưa cập nhật có thể đã bị nhiễm.
- Không cần nhiều thao tác, chỉ cần giải nén file, mã độc sẽ tự kích hoạt khi khởi động máy.
- Độ phổ biến toàn cầu của WinRAR, được dùng ở khắp nơi, từ cá nhân đến doanh nghiệp, nhưng lại không có tính năng tự động cập nhật.
Các chuyên gia khuyến cáo người dùng:
- Tải và cài đặt WinRAR 7.13 từ trang chính thức win-rar.com.
- Không mở file nén RAR từ nguồn không rõ ràng.
- Bật chế độ hiển thị phần mở rộng file để dễ nhận diện file thực thi.
- Sử dụng phần mềm bảo mật đáng tin cậy để phát hiện hành vi bất thường.
- Cảnh giác với email đính kèm, kể cả từ người quen vì tài khoản có thể đã bị chiếm đoạt.
Một lỗ hổng tưởng chừng đơn giản trong phần mềm quen thuộc như WinRAR cũng có thể trở thành “cửa hậu” cho hacker nếu người dùng chủ quan. Cập nhật phần mềm kịp thời, đúng thời điểm không chỉ giúp bạn update thêm tính năng mới trong quá trình sử dụng, mà còn là lớp phòng thủ đầu tiên để bảo vệ bạn trước những mối đe dọa ngày càng tinh vi.
WhiteHat