Credit image: Freepix
Zero Day WinRAR Mengundang Maut – Sebuah kerentanan kritis jenis zero-day (belum diketahui publik) dengan kode CVE-2025-8088 telah ditemukan pada aplikasi pengarsipan file populer, WinRAR.
Kerentanan ini dieksploitasi oleh kelompok spionase siber yang menargetkan individu dan organisasi bernilai tinggi di seluruh dunia.
Penelitian terbaru dari ESET mengungkap detail lebih dalam tentang eksploitasi kerentanan ini, yang ternyata tidak hanya digunakan oleh satu, tetapi juga oleh kelompok lain selain RomCom, untuk melancarkan serangan spionase dan kejahatan siber yang canggih.
|
Baca juga: Keylogger Curi Kredensial di Server Microsoft Exchange |
Kronologi Penemuan Kerentanan
Tim peneliti ESET yang pertama kali menemukan kerentanan ini, yakni pada 18 Juli, mereka mengamati penggunaan jalur file yang tidak biasa dalam sebuah serangan yang melibatkan malicious DLL (Dynamic Link Library).
Setelah penyelidikan lebih lanjut, ESET mengonfirmasi bahwa mereka telah mengidentifikasi eksploitasi dari sebuah kerentanan yang sebelumnya tidak diketahui.
Setelah diberi tahu oleh ESET, tim pengembang WinRAR bertindak cepat dan merilis pembaruan perangkat lunak pada 30 Juli. Pembaruan ini berhasil menambal kerentanan dalam waktu kurang dari 24 jam sejak ditemukan.
Detail Teknis Kerentanan dan Eksploitasi
Kerentanan CVE-2025-8088 adalah jenis path traversal yang memungkinkan penyerang menyembunyikan file berbahaya di dalam sebuah arsip RAR. Kerentanan ini memanfaatkan fitur Alternate Data Streams (ADS) pada Windows.
Ketika korban membuka atau mengekstrak arsip, file berbahaya tersebut akan ditempatkan di lokasi yang tidak terduga, jauh dari pandangan pengguna, dan dijalankan secara otomatis.
Serangan ini sering kali disamarkan dalam dokumen-dokumen yang tidak mencurigakan, seperti dokumen lamaran kerja. Taktik ini sangat efektif karena file arsip tersebut tampak berisi dokumen yang sah, sementara di balik layar, ia telah menyusupkan malware ke sistem.
|
Baca juga: Dari ClickFix ke FileFix |
Pelaku dan Mekanisme Serangan
Serangan ini dikaitkan dengan RomCom, sebuah kelompok kejahatan siber dan spionase yang memiliki hubungan dengan Rusia. Kelompok ini dikenal karena menargetkan korban-korban bernilai tinggi melalui serangan yang canggih.
Cara kerjanya adalah dengan mengirimkan file arsip yang dibuat secara khusus. Arsip ini tampak berisi satu file yang tidak berbahaya, tetapi sebenarnya juga menyembunyikan file-file lain yang berfungsi sebagai backdoor. Tergantung pada target dan kampanye, malware yang dikirimkan bisa berupa varian SnipBot, RustyClaw, atau Mythic Agent.
Selain itu, serangan ini juga memasang sebuah file pintasan (link file) ke direktori startup Windows, yang bertujuan untuk mempertahankan akses penyerang ke sistem korban.
Tindakan yang Perlu Dilakukan
Kerentanan ini memiliki tingkat keparahan yang tinggi, dengan skor 8.4. Oleh karena itu, sangat penting bagi semua pengguna WinRAR untuk segera mengambil tindakan pencegahan.
Tindakan yang direkomendasikan:
- Pastikan Anda memperbarui perangkat lunak WinRAR ke versi terbaru yang sudah menambal kerentanan ini.
- Hindari membuka file arsip (.rar) dari sumber yang tidak dikenal atau mencurigakan.
- Anda dapat mengunjungi situs web resmi ESET di welivesecurity.com untuk mendapatkan laporan penelitian lengkap mengenai kerentanan ini.
Sumber berita:
