تستمر التهديدات الأمنية في التطور، وتعتبر ثغرة WinRAR CVE-2025-8088 واحدة من أخطر التهديدات التي تواجه الشركات الصغيرة والمتوسطة.
ثغرة WinRAR CVE-2025-8088 تحت الهجوم
تستهدف مجموعة واسعة من الجهات المعادية، بما في ذلك الجهات المدعومة من الدول، ثغرة في برنامج استخراج الملفات الشهير WinRAR الذي تم معالجة ثغراته العام الماضي. تؤثر هذه الثغرة على مجموعة واسعة من المنظمات وقد تكون الأكثر ضررًا على الشركات الصغيرة والمتوسطة.
نشرت مجموعة Google Threat Intelligence Group (GTIG) أمس منشورًا بحثيًا بشأن CVE-2025-8088، وهي ثغرة عالية الخطورة اكتشفتها ESET وتم الكشف عنها في أغسطس الماضي. وفقًا لقائمة قاعدة بيانات الثغرات الوطنية، تعتبر CVE-2025-8088 “ثغرة في مسار التصفح تؤثر على إصدار Windows من WinRAR [الذي] يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية من خلال إنشاء ملفات أرشيف ضارة.”
WinRAR هو برنامج استخراج ملفات متعدد المنصات يستخدمه مئات الملايين من المستخدمين، بما في ذلك الأفراد والمنظمات من مختلف الأحجام والقطاعات.
بالإضافة إلى قاعدة مستخدميه الكبيرة والمتنوعة، يعد WinRAR أيضًا سهل الوصول. يتميز البرنامج بفترة تجريبية مجانية غير محدودة مما جعله موجودًا على ملايين الأجهزة، بغض النظر عما إذا كان المستخدمون يعرفون أنه موجود.
يقول دوغلاس مككي، مدير استخبارات الثغرات في Rapid7، إن هذه النقطة الأخيرة “هي على الأرجح أكثر جوانب هذه الثغرة خطورة.”
“غالبًا ما يبقى WinRAR هادئًا على الأنظمة لسنوات، نادرًا ما يُستخدم، نادرًا ما يُحدث، ونادرًا ما يُعتبر جزءًا من سطح الهجوم. قد يقوم المستخدمون بتحديث نظام التشغيل والمتصفح الخاص بهم بدقة بينما تظل أداة الأرشفة المعرضة للخطر غير مُلمسة تمامًا،” كما يقول مككي لموقع Dark Reading. “من منظور المهاجم، فإن البرامج المنسية مثالية: إنها موثوقة، وغير مراقبة، وتحتاج فقط إلى أن تُستدعى مرة واحدة في الوقت المناسب. تجعل هذه التركيبة الأدوات الساكنة مثل WinRAR خطرًا دائمًا وغالبًا ما يُغفل.”
يضيف أن المستخدمين الأكثر عرضة للخطر هم الشركات الصغيرة والمتوسطة بالإضافة إلى المحترفين في الأدوار التي تتبادل الملفات المضغوطة بشكل منتظم كجزء من العمليات الطبيعية؛ يميل المهاجمون إلى التركيز على المناصب التي تتطلب فتح الملفات كجزء من العمل.
“تتزايد هذه المخاطر في المنظمات التي يتم فيها تثبيت برامج مثل WinRAR على نطاق واسع ولكن نادرًا ما تُدار أو تُراجع أو تُحدث. قد يثق الموظفون في الأدوار التقنية أو التشغيلية أو الإدارية في ملفات الأرشيف بشكل ضمني، خاصة عندما تبدو أنها تأتي من شريك معروف أو من سير العمل الداخلي،” يوضح مككي. “تظهر تلك التركيبة كثيرًا في الهجمات المستهدفة، ليس لأن المستخدمين مهملون، ولكن لأن العمل نفسه يتطلب الثقة في الملفات المشتركة.”
في وقت الكشف عنها، لاحظ باحثو ESET أن الثغرة عالية الخطورة (8.4 CVSS) قد تم استغلالها في البرية من قبل جهات تهديد بما في ذلك المجموعة المرتبطة بروسيا RomCom. قامت WinRAR بتصحيح الثغرة في إصدارها بتاريخ 30 يوليو 2025، ولكن وفقًا لـ GTIG، لا يزال المهاجمون نشطين بعد عدة أشهر.
قالت Google إن استغلال CVE-2025-8088 واسع النطاق ونشط. على جبهة التجسس، تستغل جهات تهديد من الصين وروسيا الثغرة، حيث تستخدم الأخيرة لاستهداف الكيانات الأوكرانية. على الجانب المالي، أوضحت Google أن هناك عدة جهات تهديد حول العالم تستخدم (وتواصل استخدام) CVE-2025-8088 “لنشر RATs تجارية وسرقات معلومات ضد الأهداف التجارية.”
بدأ المهاجمون في استغلال الثغرة في وقت مبكر من 18 يوليو 2025، حيث قام المهاجمون بإنشاء ملفات RAR ضارة تحتوي على ملفات ضارة أخرى تعتمد على ميزة بيانات التعريف في Windows المعروفة باسم تدفقات البيانات البديلة (ADS).
“غالبًا ما تتضمن سلسلة الاستغلال إخفاء الملف الضار داخل ADS لملف خداع داخل الأرشيف. بينما يرى المستخدم عادةً مستند خداع (مثل PDF) داخل الأرشيف، هناك أيضًا إدخالات ADS ضارة، بعضها يحتوي على حمولة مخفية بينما تحتوي أخرى على بيانات وهمية،” قالت GTIG.
“تُكتب الحمولة باستخدام مسار مُعد خصيصًا مصمم للتنقل إلى دليل حرج، وغالبًا ما تستهدف مجلد بدء التشغيل في Windows من أجل الاستمرارية،” قال الباحثون. “عند فتح الأرشيف، يتم استخراج محتوى ADS (malicious.lnk) إلى الوجهة المحددة بواسطة مسار التصفح، مما يؤدي إلى تنفيذ الحمولة تلقائيًا في المرة التالية التي يقوم فيها المستخدم بتسجيل الدخول.”
حثت Google المستخدمين والمنظمات غير المُحدثة على تحديث نسخ WinRAR الخاصة بهم على الفور، والتعرف على تكتيكات وتقنيات وإجراءات الجهات المستغلة “المتوقعة”. يتضمن مدونة GTIG مؤشرات على التهديدات.
أخبر باحث من مجموعة Google Threat Intelligence Group موقع Dark Reading أن أي برنامج غير مُحدث يزيد من سطح هجوم الجهاز. “نحث المنظمات والمستخدمين على إبقاء البرامج، بما في ذلك البرامج التي تم الحصول عليها من خلال التجارب المجانية، محدثة بالكامل وتثبيت التحديثات الأمنية بمجرد توفرها،” يقول الباحث.
لضمان أمان بياناتك، تأكد من تحديث جميع البرمجيات الخاصة بك، بما في ذلك WinRAR، وتجنب فتح الملفات من مصادر غير موثوقة.
