ثغرة خطيرة في WinRAR تهدد ملايين المستخدمين ببرمجيات خبيثة

برنامج WinRAR، الأداة الشهيرة لضغط الملفات، بات في قلب عاصفة أمنية جديدة بعد اكتشاف ثغرة خطيرة تحمل الرمز CVE-2025-8088. هذه الثغرة، المصنفة من نوع “اليوم الصفري” (zero-day)، تتيح للمهاجمين اختراق أجهزة تعمل بنظام ويندوز عبر أرشيفات RAR مصممة خصيصًا لنشر برمجيات خبيثة. إليكم كل ما تحتاجون إلى معرفته حول هذه الثغرة وكيفية الحماية منها.

ثغرة يوم صفري تثير القلق

الثغرة CVE-2025-8088 هي من نوع path traversal (اجتياز المسار)، مما يسمح للمهاجمين بوضع ملفات خبيثة في مجلدات حساسة بنظام ويندوز، مثل مجلد التشغيل التلقائي. اكتشفها باحثون من شركة الأمن السيبراني ESET، وهم أنطون شيريبانوف، بيتر كوشينار، وبيتر ستريك، في 18 يوليو 2025، بعد رصد نشاط مشبوه في سجلات ملفات ويندوز. وبعد ستة أيام فقط، في 30 يوليو، أصدر مطورو WinRAR تحديثًا (الإصدار 7.13) لمعالجة المشكلة.

هذه الثغرة تؤثر على جميع إصدارات WinRAR لنظام ويندوز قبل الإصدار 7.13، بالإضافة إلى مكتبة UnRAR.dll والنسخة المحمولة من UnRAR. لحسن الحظ، الإصدارات المخصصة لأنظمة Unix وAndroid غير متأثرة.

كيف يستغل القراصنة هذه الثغرة؟

الآلية بسيطة وخطيرة في آن واحد. يقوم المهاجمون بإنشاء أرشيف RAR يحتوي على ملف يبدو بريئًا، مثل مستند أو سيرة ذاتية، لكنه يحمل شيفرة خبيثة. عند استخراج الأرشيف، تستغل الثغرة فجوة في التحقق من مسارات الملفات لوضع برمجيات خبيثة في مجلدات مثل %TEMP% أو %LOCALAPPDATA% أو حتى مجلد التشغيل التلقائي. هذه البرمجيات قد تعمل تلقائيًا عند إعادة تشغيل الجهاز، مما يتيح للمهاجمين سرقة البيانات، تثبيت أبواب خلفية (backdoors)، أو تشغيل برامج الفدية (ransomware).

يعتمد المهاجمون على خاصية تدفقات البيانات البديلة (alternate data streams) في ويندوز، التي تتيح تمثيل مسار الملف بطرق متعددة، مع تسلسلات اجتياز مثل ..\\..\\ لتجاوز قيود WinRAR الأمنية.

من هم المهاجمون؟

تم تحديد مجموعتين متورطتين في استغلال هذه الثغرة. الأولى هي RomCom (المعروفة أيضًا باسم Storm-0978 أو Tropical Scorpius)، وهي مجموعة روسية تنشط منذ سنوات وتركز على الهجمات المالية والتجسس. بين 18 و21 يوليو 2025، استهدفت RomCom شركات في قطاعات المال، الصناعة، الدفاع، واللوجستيات في أوروبا وكندا، باستخدام رسائل تصيد احتيالي (spear-phishing) متنكرة كسير ذاتية أو وثائق رسمية.

المجموعة الثانية، Paper Werewolf (أو GOFFEE)، وهي أيضًا روسية، ركزت على منظمات في روسيا وأوزبكستان. وفقًا لشركة BI.ZONE الروسية للأمن السيبراني، استخدمت هذه المجموعة الثغرة CVE-2025-8088 مع ثغرة أخرى (CVE-2025-6218) تم إصلاحها في يونيو 2025. وزّعت هجماتها في يوليو وأغسطس عبر رسائل بريدية تنتحل هوية موظفين في معهد أبحاث روسي. تشير BI.ZONE إلى أن Paper Werewolf ربما اشترت الثغرة من سوق سوداء على الإنترنت المظلم مقابل حوالي 80,000 دولار.

ثلاث سلاسل هجوم متقنة

حددت ESET ثلاث طرق استغلال مختلفة لهذه الثغرة:

1. Mythic Agent عبر اختطاف COM : يقوم أرشيف خبيث بإيداع ملف DLL في مجلد %TEMP%، يتم تشغيله عبر تقنية اختطاف COM، غالبًا عبر تطبيقات مثل Microsoft Edge. يتحقق الملف من اسم نطاق الجهاز قبل تثبيت إطار هجوم Mythic Agent.
2. SnipBot مع تقنيات مضادة للتحليل : ملف تنفيذي لنظام ويندوز، يتم تنكره كأداة شرعية مثل PuTTY، يثبت برمجية SnipBot الخبيثة التي تتوقف عن العمل في بيئات التحليل الافتراضية.
3. RustyClaw وMeltingClaw : برمجيتان خبيثتان مرتبطتان بـ RomCom، تُستخدمان لتحميل حمولات إضافية عبر خوادم التحكم والسيطرة (C2).

تاريخ WinRAR المضطرب

ليس هذا أول استهداف لـ WinRAR. في عام 2019، استُغلت ثغرة لتنفيذ شيفرات خبيثة بعد وقت قصير من إصلاحها. وفي عام 2023، تم استخدام ثغرة يوم صفري أخرى (CVE-2023-38831) لأكثر من أربعة أشهر قبل اكتشافها. شعبية WinRAR، مع قاعدة مستخدمين تصل إلى 500 مليون، وغياب ميزة التحديث التلقائي تجعلانه هدفًا مثاليًا للقراصنة.

الثغرة CVE-2025-6218، التي تم إصلاحها في يونيو 2025، كانت أيضًا من نوع path traversal، بدرجة خطورة CVSS 7.8، مقارنة بـ 8.4 لـ CVE-2025-8088. هذه الحوادث تبرز تحديات تأمين أدوات الضغط.

كيف تحمي نفسك؟

للوقاية من هذه الثغرة، إليكم الخطوات الأساسية:

• تحديث WinRAR فورًا : قم بالترقية إلى الإصدار 7.13 أو أحدث، الذي يعالج CVE-2025-8088 وغيرها من الثغرات. تحقق من إصدارك عبر قائمة مساعدة > حول WinRAR، وقم بالتحديث من الموقع الرسمي: www.win-rar.com.
• توخَ الحذر مع رسائل البريد : تجنب فتح أرشيفات RAR من مصادر غير موثوقة، خاصة إذا بدت مخصصة لك (مثل سيرة ذاتية غير متوقعة). تحقق من هوية المرسل عبر قنوات أخرى.
• راقب نظامك : ابحث عن ملفات مشبوهة في مجلدات التشغيل أو المؤقتة، وتحقق من الاتصالات الشبكية الغريبة.
• استخدم برامج مكافحة فيروسات محدثة : حلول مثل Bitdefender Ultimate Security يمكن أن تكتشف وتمنع تهديدات اليوم الصفري.
• قلل الصلاحيات : اضبط WinRAR لاستخراج الملفات فقط في مجلدات يملك المستخدم صلاحيات الكتابة فيها، وفكر في تعطيل التنفيذ من المجلدات المؤقتة.

لماذا تثير هذه الثغرة القلق؟

مع قاعدة مستخدمين تضم 500 مليون شخص، يعد WinRAR هدفًا مغريًا للقراصنة. غياب التحديث التلقائي يعني أن ملايين المستخدمين قد يظلون عرضة للخطر. حتى المستخدمون الحذرون قد يقعون ضحايا، لأن استخراج أرشيف يُعتبر إجراءً آمنًا عادةً. إضافة إلى ذلك، تنظيم مجموعات مثل RomCom وPaper Werewolf، التي قد تكون مدعومة من جهات حكومية، يجعل هذه الهجمات أكثر خطورة.

الخلاصة

ثغرة CVE-2025-8088 تذكّرنا بأن الأدوات اليومية قد تتحول إلى بوابات للهجمات السيبرانية. تحديث WinRAR والحذر من رسائل البريد المشبوهة هما خطوتان أساسيتان للحماية. في عالم رقمي متغير، تبقى اليقظة والتحديثات الدورية أفضل دروعنا.