Recientemente investigadores encontraron una vulnerabilidad zero-day en WinRAR, registrada como CVE-2025-8088, los investigadores encontraron que está siendo explotada activamente en ataques dirigidos por el grupo RomCom, también conocido como Strom-0978, UNC2596, Tropical Scorpius.
La falla es de tipo path traversal, está permite que archivos dentro de un archivo RAR maliciosamente configurado se extraigan fuera de la carpeta elegida por el usuario, incluso en rutas sensibles como las de arranque automático (Startup) de Windows.
¿Cómo funciona?
- El atacante envía un archivo .rar disfrazado de CV, documento oficial u otro archivo convincente.
- Al extraerlo con WinRAR (versiones anteriores a la 7.13), el exploit fuerza la extracción de un archivo malicioso directamente en una ruta como %APPDATA%…Startup, que se ejecuta automáticamente al iniciar sesión en Windows.
- Este archivo actúa como instalador de malware, lo que permite ejecución remota de código al siguiente inicio del sistema.
Versiones afectadas
Afecta a las versiones anteriores a las 6.23, esto quiere decir que todas las ramas 6.22 y anteriores son vulnerables.
La versión 6.23 lanzada por RARLAB ya incluye el parche de seguridad que corrige esta falla.
Cabe recalcar que WinRAR no contiene una función de actualización automática, por lo que los usuarios deben descargar e instalar manualmente la última versión.
Recomendaciones
- Instalar la versión 6.23 o superior, que corrige la vulnerabilidad.
- Descargar siempre desde el sitio oficial de RARLAB para evitar versiones manipuladas.
- No abrir .RAR o .ZIP recibidos por correo, mensajería o foros si no se confía en la fuente.
- Prestar atención especial a archivos relacionados con trading, inversiones o criptomonedas, ya que fueron usados en campañas activas.
- Tratar cualquier archivo externo como potencialmente malicioso hasta verificar su procedencia.
