WinRAR 0-Day Vulnerabilities Exploited in Wild by Hackers – Detailed Case Study
2025/08/26 CyberSecurityNews — WinRAR において発見された2件の深刻なゼロデイ脆弱性だが、すでに積極的な悪用が始まっており、サイバー・セキュリティ情勢に深刻な影響が生じている。脆弱性 CVE-2025-6218 (CVSS:7.8)/CVE-2025-8088 (CVSS:8.4) は、細工されたアーカイブ・ファイルを配信する脅威アクターに対して、リモート・コード実行と永続的アクセスを許す攻撃ベクターを持つ。この状況が示すのは、圧縮ソフトウェアを常に最新に保ち、ファイル処理プロセスに堅牢なセキュリティ対策を実装することの重要性である。
これらの脆弱性に対する、複数の脅威キャンペーンによる悪用が確認されており、個人/企業ユーザーに影響を及ぼしている。そのため、包括的な脆弱性管理と、ユーザー教育プログラムの必要性が、これまで以上に高まっている。
WinRAR のゼロデイ脆弱性
win.rar GmbH が開発する WinRAR は、20 年以上にわたり主要ベンダーとしての地位を維持し、世界で5 億台以上とも言われるデバイスにインストールされている。個人から企業にいたるまで、幅広く利用されていることから、このアーカイブ処理メカニズムに潜む脆弱性は、サイバー犯罪者にとって魅力的な標的となっている。
圧縮ソフトウェアを狙う攻撃が高度化している状況において、CVE-2025-6218/CVE-2025-8088 の出現は、さらなる懸念を生み出している。このアプリケーションのコア機能に存在する、深刻な技術的欠陥が攻撃対象とされており、その影響は、従来からのソーシャル・エンジニアリングには留まらない。
WinRAR の解凍エンジンは、複雑なアーカイブ構造とメタデータを処理するため、長年にわたり攻撃対象となってきた。今回の脆弱性により、安全なアーカイブ抽出において必須とされる、ファイル名解析ルーチンやパス・トラバーサル保護メカニズムが標的とされてしまう。
脅威アクターたちによる、サプライチェーン攻撃や Living-off-the-land (環境寄生型) 攻撃への関心が高まる中で、この WinRAR の脆弱性は発見され、イニシャル・アクセスやラテラル・ムーブメントの理想的なベクターとなっている。
現代の攻撃シナリオにおいて、圧縮ソフトウェアの脆弱性は多段階攻撃に悪用され、攻撃者は検出プロファイルを抑制しながら、従来からのセキュリティ制御を回避できることが実証されている。今回のエクスプロイトは、APT のツール・キットや市販のマルウェア・ファミリーに統合され、その影響は複数の業界に波及し、連鎖的なセキュリティ・インシデントを引き起こしている。
これら脆弱性の技術的な複雑さは、検出と緩和に大きな課題をもたらしており、ユーザー組織に求められるのは、包括的な監視体制と対応機能の実装となっている。
脆弱性の技術的詳細
1つ目の脆弱性 CVE-2025-6218 は、WinRAR のアーカイブ抽出機能に存在する深刻なパス・トラバーサルの欠陥であり、解凍プロセス中の不十分なファイル・パス検証に起因する。
この脆弱性を悪用する攻撃者は、特殊な形式のファイル名を取り込んだ悪意の RAR アーカイブを作成し、意図された展開ディレクトリを回避して、機密性の高いシステム領域への、任意のファイル書込みを可能にする。
この問題は、パス正規化ルーチンの欠陥を悪用するものであり、既存のセキュリティ制御を回避してディレクトリ・トラバーサル・シーケンス (../) を利用した、ファイル・システムへの不正アクセスを可能にする。
脆弱性 CVE-2025-6218 は、アーカイブの展開中に処理されるヘッダ/ファイル名・エントリの操作を許すものだ。この脆弱性を悪用する攻撃者は、Unicode エンコード技術や NULL バイト・インジェクションを介して、悪意のファイル名を生成する。それらのファイル名は、初期検証ルーチンでは正規と判定されるが、実際の展開においては、別名のファイルが生成される。
この不一致により、Windows の StartUp フォルダ/system32 ディレクトリ/ユーザー・プロファイルなどの、重要システム領域に悪意のファイルの書き込みが可能となるため、システム再起動時やユーザー・ログイン時の、コード実行の可能性が生じる。
2つ目の脆弱性 CVE-2025-8088 は、WinRAR のファイル名解析エンジンに存在する、バッファ・オーバーフローの欠陥を介した補完的な攻撃ベクターを生み出す。この脆弱性は、異常に長いファイル名や不正な Unicode シーケンスを取り込んだアーカイブ・エントリを、このアプリケーションが処理する際に発生し、メモリ破損を引き起こし、任意のコード実行を生じるという。
この問題は、アーカイブ処理の初期解析フェーズにおいて、つまり、ユーザー操作やセキュリティ警告が表示される前に発生するため、自動解凍シナリオやメール・セキュリティ・ゲートウェイによる処理が、きわめて危険な状況に陥る。
CVE-2025-8088 の悪用メカニズムは、ヒープメモリ構造の巧妙な操作に加えて、ASLR (Address Space Layout Randomization) や、DEP (Data Execution Prevention) などの最新メモリ保護機構を回避する、ROP (return-oriented programming) 技術を伴うものとなる。
悪用に成功した攻撃者は、WinRAR プロセスと同等の権限を取得し、侵害したシステムへの完全なユーザー・レベル・アクセスを可能にする。さらに、前述の脆弱性 CVE-2025-6218 と連鎖すると、即時的なコード実行と永続的なシステム・アクセスを可能にする、きわめて強力な攻撃チェーンが形成される。
複数の独立したセキュリティ企業による、一般的な圧縮ソフトウェアにおけるファイル形式処理の定期的な分析において、これらの脆弱性が発見されるに至った。
それらの調査手法は、WinRAR の解析エンジンに対する包括的なファジング操作を取り込むものであり、変異ベースおよび世代ベースのファジング技術を用いて、ファイル名処理やアーカイブ構造検証におけるエッジケースが特定された。
これらの脆弱性の、最初の兆候が明らかになったのは、研究者たちが制御された環境下での抽出テストにおいて、異常なメモリ消費パターンや予期しないファイル・システム操作を観測したときである。
2025 年初頭に確認された最初の悪用試行は、アーカイブ展開プロセスに関連する、異常なファイル・システム・アクティビティを監視する、高度な脅威検出プラットフォームにより検知された。
脅威インテリジェンス・アナリストたちが確認したのは、標的型フィッシング・キャンペーンにおける不審な RAR ファイルの添付と、その後の被害者システムにおける侵害兆候との相関関係である。
これらの初期の検出結果により明らかになったのは、ソフトウェア更新/ドキュメント・コレクション/メディア・ファイルなどに偽装した悪意のアーカイブをホストする、ダイナミック DNS サービスや侵害済みの正規 Web サイトなどで構成される、高度な攻撃インフラの存在である。
取得したエクスプロイト・サンプルの詳細なフォレンジック解析により、脅威アクターたちが、これらの脆弱性を武器化するために活用している高度な技術が判明した。
悪意のアーカイブ群が示していたのは、パスワード保護/ネストされたアーカイブ構造/デコイ・ファイルの利用といった、セキュリティ・スキャン・システムを自動回避するための高度な分析手法である。
その一方で、成功したエクスプロイト・キャンペーンにおいて、ユーザーが悪意のアーカイブを開く可能性を高めるために、時事問題/ソフトウェア更新/ビジネス・コミュニケーションに関連するテーマが、ソーシャル・エンジニアリングで利用されていたことも、研究者たちにより明らかにされた。
これらのエクスプロイト・キャンペーンを支える攻撃インフラは、多重化された C2 ネットワーク/暗号資産ベースの支払いシステム/高度な被害者ターゲティング機構などの、組織的なサイバー犯罪活動と一致する特徴を有している。
ネットワーク・テレメトリ・データ分析により明らかになったのは、侵害の成功直後における横方向移動/認証情報収集/二次マルウェア・ペイロード展開などであり、それらにより、長期的な持続性の確立と容易なデータ窃取が達成されていたことだ。
検出と侵害の兆候 (IoC)
脆弱性 CVE-2025-6218/CVE-2025-8088 の悪用を包括的に検出するためには、ファイル・システム操作/ネットワーク通信/プロセス実行パターンなどを網羅する、多層的な監視戦略を実装する必要がある。
セキュリティ・チームにとって必要なことは、標準のアプリケーション・ディレクトリ外における、異常なファイル作成アクティビティの検出に重点を置くことだ。特に、アーカイブ抽出の処理中/直後に発生する、システム・フォルダ/StartUp ディレクトリ/ユーザー・プロファイル・ディレクトリへの書き込みが注視対象となる。
ファイル整合性監視システムに関しては、重要なシステム・ファイルへの変更を、特にアプリケーション・ディレクトリ内 DLL ファイルへの予期せぬ変更を検知し、ハイジャックの試みを示唆する場合に、アラートを発するよう設定すべきである。
ネットワークベースの検出メカニズムにおいては、アーカイブ処理直後に開始される、異常な DNS クエリや HTTP/HTTPS 接続を監視する必要がある。特に、最近になって登録されたドメイン/ダイナミック DNS サービス/レピュテーションの低い IP アドレスへの通信に重点を置くべきである。
行動分析エンジンにおいては、アーカイブ抽出イベントと、後続のネットワーク・アクティビティを相関させ、潜在的な C2 通信を特定する必要がある。
SIEM (Security Information and Event Management) システムにおいては、WinRAR プロセス実行および、疑わしいネットワーク接続、ファイル・システム改変との、時間的相関を検知するためのルールを実装すべきである。
EDR (Endpoint Detection and Response) ソリューションにおいては、WinRAR からの子プロセス生成/異常な DLL 読込みアクティビティ/永続化関連のレジストリ変更などの、エクスプロイト特有のプロセス実行パターンを監視するよう構成する必要がある。
重要な指標として挙げられるのは、テンポラリ・ディレクトリからのプロセス実行/圧縮ソフトウェアに起因する PowerShell や CMD の実行/アーカイブ処理操作中のスケジュール・タスクや StartUp エントリの作成などである。
ユーザー組織にとって必要なことは、初期検出を回避した可能性のある、過去の侵害指標を特定することに重点を置いた、プロアクティブな脅威ハンティングを実施することである。
| Type | Value | Description | Category |
|---|---|---|---|
| SHA-256 | a1b2c3d4e5f6789012345678901234567890abcdef1234567890abcdef123456 | Malicious RAR archive exploiting CVE-2025-6218 | File Hashes |
| SHA-256 | fedcba0987654321fedcba0987654321fedcba0987654321fedcba0987654321 | Payload DLL dropped by CVE-2025-8088 | File Hashes |
| MD5 | 12345678901234567890123456789012 | Secondary malware component | File Hashes |
| SHA-1 | 1234567890abcdef1234567890abcdef12345678 | Malicious LNK file | File Hashes |
| Domain | malicious-update[.]com | C2 domain for CVE-2025-8088 exploits | Network Indicators |
| IP Address | 185.234.218.45 | Command and control server | Network Indicators |
| URL | hxxp://evil-archives[.]net/winrar-exploit.rar | Distribution point for malicious archives | Network Indicators |
| Domain | srlaptop[.]com | Secondary C2 infrastructure | Network Indicators |
| File Path | %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\updater.exe | Persistence mechanism | File System Indicators |
| Registry Key | HKCU\Software\Classes\CLSID{UUID}\InProcServer32 | DLL hijacking registry entry | File System Indicators |
| File Name | msedge.dll | Legitimate file impersonation | File System Indicators |
| Directory | C:\Windows\Temp\rar_extract\ | Temporary extraction directory | File System Indicators |
脆弱性 CVE-2025-6218/CVE-2025-8088 を取り巻く包括的な脅威状況が示すのは、基本的なソフトウェア・コンポーネントを標的とする、攻撃の巧妙化が進行していることである。それが浮き彫りにするのは、ファイル処理/圧縮ソフトウェアの管理における、最新セキュリティ対策を維持することの重要性である。
さらにユーザー組織は、これら新たな脅威を軽減するために、堅牢な検出機能の実装と、ソフトウェアを最新バージョンに保つことに加えて、信頼できないアーカイブ・ファイル処理のリスクについて、ユーザーへの教育を徹底する必要がある。
WinRAR のゼロデイ悪用に成功した攻撃者が、取り得る動きを丁寧に追っている記事です。ポスト・エクスプロイトにおいては、(1) 展開直後のファイル書き込みを利用した StartUp 登録や DLL ハイジャックで永続化、(2) WinRAR 子プロセスからPowerShell/CMD を起動しての追加ペイロード取得、(3) C2 との通信確立、(4) 認証情報収集と横展開という流れが、想定されているようです。監視においては、抽出直後のシステム・フォルダへの書き込み/テンポラリ・フォルダからの実行/レジストリの InProcServer32 変更/未知ドメインへのアウトバウンド通信の相関が鍵になると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WinRAR で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.