Se ha identificado y corregido una vulnerabilidad crítica en WinRAR (CVE‑2025‑8088), que fue explotada como zero-day en ataques de phishing para instalar el malware RomCom en sistemas objetivos. Esta vulnerabilidad permite que un archivo comprimido diseñe rutas de extracción que ubican componentes maliciosos en carpetas autorun, como la de inicio de Windows, provocando la ejecución automática del malware sin intervención adicional del usuario
Productos afectados:
- WinRAR en su versión para Windows, incluyendo RAR, UnRAR y UnRAR.dll.
- Las versiones para Unix, Android y otras plataformas no están afectadas
Nivel de riesgo y explotación:
- El grupo RomCom (también conocido como Storm‑0978 o UNC2596), vinculado con ransomware y campañas de robo de datos, ha utilizado esta vulnerabilidad en campañas dirigidas mediante archivos RAR sin intervención del usuario más allá de la extracción.
- Aunque la extracción de archivos maliciosos requiere una acción mínima del usuario (abrir un archivo adjunto), el impacto es elevado ya que el código puede ejecutarse automáticamente al inicio del sistema.
Solución y mitigación:
- Actualización inmediata: Se debe actualizar WinRAR a la versión 7.13 o superior, que contiene la corrección del CVE‑2025‑8088.
Recomendaciones:
- Actualizar hoy mismo a WinRAR 7.13 para cerrar la brecha de seguridad.
- No abrir RAR adjuntos de correos sospechosos, especialmente si provienen de remitentes desconocidos.
- Monitorear actividad sospechosa, como la aparición de archivos en carpetas de inicio tras la extracción.
- Educar a los usuarios sobre los riesgos de extraer archivos comprimidos sin verificar su autenticidad.
Referencias: