¿Necesitas ayuda o prefieres visitarnos?
Teléfono:
960 260 360
Dirección:
Plaza País Valencia, 25 (bajo)
RARLAB lanzó WinRAR 7.13 para remediar la grave vulnerabilidad CVE-2025-8088, explotada activamente en campañas de phishing. Esta falla podría permitir la ejecución de código al extraer archivos diseñados maliciosamente.
La Vulnerabilidad CVE-2025-8088 en WinRAR 7.13
CVE-2025-8088 describe un fallo crítico de path traversal en WinRAR 7.13 que permite a un archivo comprimido manipulado escribir ficheros fuera de la carpeta de destino elegida por el usuario. Al romper ese aislamiento, un atacante puede lograr la ejecución de código durante o tras la extracción, si consigue ubicar un ejecutable o un script en una ruta privilegiada. La vulnerabilidad ha sido observada en explotación real, lo que incrementa sustancialmente su riesgo.
Imagen generada por IA con licencia de Freepik
El problema se circunscribe al ecosistema Windows y también afecta a los componentes de descompresión RAR/UnRAR, incluida UnRAR.dll. Según la catalogación técnica, está asociada a CWE-35 (traversal de rutas) y cuenta con una severidad alta, con una puntuación de CVSS 8,4. Aunque exige interacción del usuario —abrir o extraer un archivo señuelo—, el impacto es significativo, porque muchos flujos de trabajo cotidianos confían en archivos comprimidos.
Los investigadores de ESET Anton Cherepanov, Peter Košinár y Peter Strýček han sido acreditados por el hallazgo, que ha forzado una reacción rápida del proveedor. La amplia base instalada de WinRAR en entornos domésticos y corporativos amplifica la superficie de ataque, especialmente en organizaciones que intercambian .rar y .zip a diario. En este contexto, los atacantes ven una vía directa para introducir persistencia o plantar binarios maliciosos.
El vector típico consiste en encapsular rutas manipuladas dentro del archivo, de modo que el extractor confíe en la ruta del atacante y no en la seleccionada por el usuario. Si el contenido se despliega en ubicaciones como la carpeta Startup o áreas de AppData, puede ejecutarse automáticamente en el siguiente inicio de sesión. Por ello, la respuesta adecuada pasa por actualizar con urgencia y endurecer los controles de manejo de adjuntos.
Impacto de la vulnerabilidad en la seguridad digital
El principal impacto de CVE-2025-8088 es que permite a un actor remoto transformar una simple extracción de archivos en un hito de la cadena de ataque. Al escribir fuera del directorio previsto, el atacante puede introducir cargas en ubicaciones donde se ejecutarán sin interacción posterior. Esto facilita la instalación de troyanos, la activación de scripts o la colocación de DLL maliciosas.
Para usuarios domésticos, el riesgo se materializa a través de adjuntos recibidos por correo o descargas de webs no confiables. La apariencia inofensiva de un archivo .rar facilita el engaño, y la extracción en un solo clic activa la técnica de traversal. La consecuencia puede ser el robo de credenciales, el cifrado de datos por ransomware o la toma de control del equipo.
En entornos profesionales, el vector impacta en procesos de intercambio con proveedores, clientes o socios. Si un usuario del dominio ejecuta la extracción y el archivo cae en rutas compartidas o con permisos amplios, el atacante puede escalar su alcance. Además, la escritura en zonas como ProgramData o AppData permite establecer persistencia sin levantar sospechas inmediatas.
La detección no es trivial: a menudo los eventos se confunden con actividad legítima de WinRAR.exe o UnRAR.dll. Los registros resultan voluminosos y la manipulación de rutas se pierde entre entradas normales del sistema de archivos. Por ello, la combinación de actualización inmediata, políticas de aislamiento y monitorización de escrituras en ubicaciones sensibles es crítica para cortar el vector con rapidez.
Actualización Crítica: WinRAR 7.13
RARLAB ha publicado WinRAR 7.13 el 31 de julio de 2025 como actualización crítica que mitiga CVE-2025-8088. En sus notas, el proveedor indica explícitamente que se trata de “otra vulnerabilidad de directory traversal”, distinta a la corregida previamente en la versión 7.12. El parche ajusta el manejo de rutas internas declaradas por los archivos para que no prevalezcan sobre la ruta elegida por el usuario.
La corrección se aplica tanto a la aplicación de escritorio como a los componentes RAR/UnRAR para Windows, incluida UnRAR.dll. Esto es importante porque muchas utilidades de terceros invocan estas bibliotecas para automatizar tareas. Mantener librerías antiguas en la ruta del sistema o en aplicaciones empaquetadas conserva la exposición al fallo.
Las organizaciones deberían considerar la 7.13 una actualización de seguridad prioritaria y bloquear la ejecución de versiones previas. Es recomendable inventariar estaciones y servidores, y verificar la cadena de herramientas donde WinRAR o UnRAR.dll se integran en procesos de automatización. La actualización a 7.13 reduce de forma sustancial el riesgo operativo sin alterar flujos de trabajo.
Como nota relacionada de gestión de riesgo, el gestor alternativo 7-Zip también publicó mitigaciones para problemas de extracción de enlaces simbólicos en su versión 25.01. Si conviven ambas utilidades en su entorno, conviene alinear las actualizaciones para mantener una postura homogénea. La moraleja es clara: los descompresores son objetivo recurrente y deben tratarse como software de alta exposición.
CVE-2025-8088: Detalles de la vulnerabilidad solucionada
Desde el punto de vista técnico, CVE-2025-8088 se clasifica como CWE-35 (traversal de rutas) y se desencadena cuando un archivo comprimido contiene rutas especialmente preparadas. Mediante técnicas como rutas relativas con secuencias ../ o combinaciones equivalentes, el atacante fuerza la escritura fuera del directorio de extracción. El resultado es la posibilidad de colocar ficheros en ubicaciones controladas de forma parcial o total por el sistema.
El vector requiere que el usuario abra o extraiga el contenido con WinRAR o con utilidades que consumen UnRAR.dll. La interacción es mínima: basta con seleccionar “extraer” para que el motor procese las rutas internas del archivo. Si el diseño malicioso incluye un ejecutable o un acceso directo en la ruta de Startup, su ejecución se producirá en el siguiente inicio de sesión.
La vulnerabilidad recibe una calificación de severidad alta, con CVSS 8,4, debido a su baja complejidad y al potencial de ejecución de código. No requiere privilegios elevados para comenzar, aunque el impacto posterior dependerá de los permisos del usuario que realiza la extracción. En redes corporativas, un usuario con acceso a recursos compartidos puede ampliar el alcance del incidente.
El parche de la 7.13 introduce validaciones y normalizaciones de ruta que impiden que el contenido del archivo sobreescriba la ruta objetivo del usuario. Además, endurece el tratamiento de entradas sospechosas para evitar que se escapen de la carpeta de destino. Esta corrección corta el vector en su raíz, pero no sustituye buenas prácticas de contención y revisión de adjuntos.
Explotación Activa en Campañas de Phishing
La vulnerabilidad se ha integrado rápidamente en campañas de phishing debido a su dependencia de la interacción del usuario. Grupos como RomCom, vinculados en diversos informes a intereses rusos, están distribuyendo archivos .rar señuelo que activan el traversal al abrirse. El objetivo es alcanzar persistencia y preparar fases posteriores del ataque.
Imagen generada por IA con licencia de Freepik
En varios incidentes, el archivo malicioso deposita un binario o un acceso directo en la carpeta Startup, asegurando la ejecución automática tras el inicio de sesión. También se observan escrituras en AppData y ProgramData, donde el atacante puede esconder cargas o programar tareas. Estas tácticas reducen la fricción y evitan depender de vulnerabilidades adicionales.
Informes paralelos señalan que el grupo Paper Werewolf (GOFFEE) habría combinado este fallo con CVE-2025-6218, otro directory traversal corregido en junio de 2025. La combinación de vulnerabilidades refuerza la tasa de éxito cuando un entorno mantiene múltiples versiones desactualizadas. Además, se supo de un supuesto 0‑day anunciado por “zeroplayer” en foros clandestinos semanas antes, lo que encaja con la actividad observada.
En términos de cronología, las campañas muestran una rápida industrialización: correos señuelo, dominios registrados ad hoc y empaquetado de cargas con alto nivel de ofuscación. La conclusión operacional es inequívoca: existe explotación activa y cualquier retraso en el despliegue del parche deja una ventana de oportunidad a los atacantes. La concienciación del usuario es un componente clave, pero la actualización es el control más efectivo.
Cómo los atacantes utilizan esta falla para ejecutar código
El flujo típico comienza con un correo convincente que invita a descargar o abrir un archivo .rar aparentemente legítimo. El usuario, al extraer, desencadena el procesamiento de rutas internas maliciosas que escapan de la carpeta elegida. La herramienta confía en esas rutas y deposita archivos en ubicaciones sensibles sin que el usuario lo perciba.
Los atacantes suelen elegir la carpeta Startup o subdirectorios de AppData para establecer persistencia. Allí sitúan .lnk, .cmd, .vbs o pequeños loaders que, al reiniciar o iniciar sesión, descargan y ejecutan la carga principal. En otras variantes, se colocan DLL en rutas donde una aplicación legítima podría cargarlas de forma oportunista.
Otra técnica observada es la creación de programaciones mediante archivos que un servicio leerá posteriormente, logrando ejecución diferida. El uso de nombres que imitan componentes del sistema reduce la probabilidad de que el usuario borre el contenido. Todo ello se apoya en la expectativa de confianza que muchos otorgan a los compresores de uso diario.
Si la víctima tiene permisos amplios o trabaja en ubicaciones compartidas, la fase inicial puede pivotar hacia otros equipos. A partir de ahí, el atacante puede exfiltrar datos, moverse lateralmente o desplegar ransomware. La clave para cortar la cadena es negar la escritura fuera del directorio de extracción, cosa que la actualización 7.13 ya restablece.
Medidas de Seguridad para Usuarios de WinRAR
La primera línea de defensa es actualizar inmediatamente a WinRAR 7.13 en todos los equipos y servidores Windows. Bloquear versiones previas mediante políticas de ejecución o inventarios de software reduce el riesgo residual. Revise además herramientas y scripts que dependan de UnRAR.dll para asegurar que no arrastran bibliotecas vulnerables.
La segunda medida es endurecer el tratamiento de archivos comprimidos procedentes del exterior. Aplique aislamiento por defecto: abra .rar y .zip en entornos desechables o sandbox, y minimice el uso de cuentas con privilegios. Configure su antivirus y su EDR para inspeccionar la actividad de WinRAR.exe y vigilar escrituras en Startup, AppData y ProgramData.
Refuerce la concienciación: explique a los usuarios que un archivo comprimido puede ser tan peligroso como un ejecutable. Insista en validar el origen y evitar la apertura directa desde el correo. Si es imprescindible trabajar con adjuntos, descárguelos primero y procese su contenido en un entorno controlado.
Por último, alinee políticas de correo para filtrar o poner en cuarentena archivos comprimidos de remitentes externos. Combine reglas de firewall y listas de control de acceso para evitar que un proceso recién creado comunique con el exterior sin supervisión. Si su entorno utiliza 7-Zip, aplique igualmente las actualizaciones de seguridad pertinentes para mantener la coherencia defensiva.
Recomendaciones para protegerse de la vulnerabilidad CVE-2025-8088
Implemente una estrategia en tres capas: corrección, contención y monitorización. En la capa de corrección, despliegue WinRAR 7.13 y retire versiones anteriores con políticas de bloqueo. Valide que no existan copias de UnRAR.dll obsoletas en aplicaciones de terceros o rutas no estándar.
En la contención, establezca zonas de trabajo segregadas para tratar archivos desconocidos. Emplee sandbox o escritorios virtuales desechables para abrir y extraer, evitando tocar el perfil del usuario. Limite permisos de escritura en ubicaciones de persistencia y evite operar con cuentas con derechos elevados.
En la monitorización, configure su SIEM o EDR para alertar sobre escrituras de WinRAR.exe y UnRAR.dll en Startup, AppData, ProgramData y rutas de inicio automático. Añada reglas para detectar creación de .lnk, .vbs, .cmd y ejecutables inmediatamente después de una extracción. Cruce estas señales con eventos de correo y navegación para acelerar la respuesta.
Como buenas prácticas adicionales, filtre adjuntos comprimidos de remitentes externos, eduque a los usuarios sobre phishing y mantenga actualizado también 7-Zip si está presente. Documente un procedimiento de respuesta rápida: aislamiento del equipo, análisis forense ligero y restauración desde copias. Con estas medidas, el riesgo de CVE-2025-8088 se reduce drásticamente y su organización gana resiliencia frente a ataques oportunistas y dirigidos.
Contacto
Si necesitas asistencia personalizada en relación con la reciente vulnerabilidad de WinRAR o cualquier otro servicio relacionado, no dudes en contactarnos. Nuestro equipo está preparado para ofrecerte asesoramiento sin compromiso y ayudarte a mantener la seguridad de tus sistemas.
- 📞 Teléfono: 960 260 360
- ✉️ Correo electrónico: info@wifilinks.es
- 📍 Dirección: Pl. País Valencia, 25, 46760 Tavernes de la Valldigna, Valencia
- 🌐 Sitio web: www.wifilinks.es
No dejes que una vulnerabilidad ponga en riesgo tus datos y tu tranquilidad. Actúa ahora en la protección de tu información, actualiza tus aplicaciones y contacta con Wifilinks para estar siempre un paso adelante en seguridad. Tu seguridad es nuestra prioridad.
Fuente: www.incibe.es
