Source:https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html
🛡 概要
米CISAは、Windows版 WinRAR に影響するパストラバーサル脆弱性 CVE-2025-6218(CVSS 7.8)を Known Exploited Vulnerabilities(KEV)に追加し、現実に悪用が確認されていると注意喚起した。本欠陥は細工済みページへの訪問や悪性アーカイブの展開などユーザー操作を要件としてコード実行に至り得る。RARLABは 2025年6月に WinRAR 7.12 で修正済みで、影響は Windows ビルドに限定される(Unix/Android版は非該当)。公開レポート(BI.ZONE、Foresiet、SecPod、Synaptic Security など)によれば、GOFFEE(Paper Werewolf)、Bitter(APT-C-08/Manlinghua)、Gamaredon が当該脆弱性を用いた攻撃を展開している。関連して同製品の別のパストラバーサル脆弱性 CVE-2025-8088(CVSS 8.8)の併用も示唆されている。
🔍 技術詳細
CVE-2025-6218 は、RAR アーカイブ内のパス要素により展開先を任意ディレクトリへ迂回させるパストラバーサル欠陥で、展開処理時にユーザー権限のコンテキストで攻撃者のファイルを敏感な場所へ書き込める。典型例として Windows のスタートアップフォルダ(ユーザープロファイル配下の Startup)に実行ファイルやショートカットを配置し、次回ログオン時に自動実行させる持続化が挙げられる。さらに、Word のグローバルテンプレートである Normal.dotm をユーザーのテンプレートフォルダに置換することで、Word 起動のたびにマクロが自動実行される〈Office テンプレート注入〉も成立し得る。報告によると Bitter は軽量ダウンローダーで C# 製トロイの木馬を取得し、外部 C2(例: johnfashionaccess[.]com)と通信してキーロギング、スクリーンショット取得、RDP 資格情報窃取、ファイル流出を行う。GOFFEE は CVE-2025-6218 と CVE-2025-8088 を併用し、フィッシングで送付した RAR から初期侵入と持続化を確立。Gamaredon はウクライナ関連組織へのフィッシングで本欠陥や CVE-2025-8088 を悪用し、VBS 系マルウェア配布や破壊目的のワイパー〈GamaWiper〉投下も観測されている。これらは公開ベンダー分析に基づく観測であり、個別環境では挙動が異なる可能性がある。
CVSS 7.8(CVE-2025-6218)/ 8.8(CVE-2025-8088)はいずれも高深刻度で、ユーザー権限ながら信頼境界の突破と持続化確立、後続の情報窃取・横展開の足掛かりとなる。悪用は主にスピアフィッシングの RAR 添付、または不正サイトからの誘導で開始される。
⚠ 影響
・初期侵入(フィッシング経由のユーザー操作誘発)と持続化(Startup 置き換え、Normal.dotm 置換)により、端末再起動や Word 起動のたびにマルウェアが実行される。
・機密情報の窃取(キー入力、画面、認証情報)、外部 C2 との継続通信、場合により破壊的活動(ワイパー)。
・影響は Windows 版 WinRAR の脆弱バージョンに限定。組織のパッチ未適用率が高いと横断的な被害に発展しやすい。米政府 FCEB 機関には 2025-12-30 までの修正適用期限が設定された。
🛠 対策
1) パッチ適用・資産管理: WinRAR を 7.12 以降へ更新。ソフトウェア資産台帳・EDR を用いて旧版を横断検出し、WDAC/Applocker で旧版実行を拒否。
2) メール・Web 防御: 外部からの RAR 添付は隔離・サンドボックス動的解析を標準化。ファイル拡張子偽装や二重拡張子のブロック、URL クリック時の隔離ブラウザ/リモートブラウザ分離を適用。
3) Office ハードニング: インターネット由来ファイルのマクロ実行をブロック、信頼済みテンプレートの場所を管理共有に限定、アドインの許可リスト化。ASR ルールで Office からの子プロセス生成や Win32 API 呼び出しを抑止。
4) 持続化の防止: Startup フォルダおよびユーザーのテンプレートフォルダへの不審書き込みを監視・隔離。正常な Normal.dotm のハッシュ基準線を取り、変更検出時に自動復旧。
5) ネットワーク監視: 疑わしいドメインへの egress、異常な HTTP(S) ビーコンの周期性・JA3 指紋を監視。DNS シンクホールやプロキシで未知ドメインを段階的に検疫。
6) インシデント体制: 初動封じ込め(端末隔離)、テンプレート置換/Startup 検証、資格情報リセット、端末再イメージを含むプレイブックを整備。
📌 SOC視点
・ファイル監視: Sysmon Event ID 11(FileCreate)で Startup フォルダおよび %APPDATA%\Microsoft\Templates\Normal.dotm への winrar.exe/unrar.exe による書き込みを検知。
・プロセス連鎖: Sysmon ID 1 / Security 4688 で winrar.exe → winword.exe → powershell.exe/cmd.exe などの不審な子プロセス連鎖を可視化。
・DNS/通信: Sysmon ID 22(DNS)と ID 3(NetworkConnect)で未知ドメインや短周期ビーコン、User-Agent 異常を検出。特定 IOC(例: johnfashionaccess[.]com)はブロック・検知へ反映。
・レジストリ/ショートカット: T1547.001 に関連する Run/Startup の追加、LNK 作成を監査(Security 4663、Sysmon 12/13)。
・ハンティング例: 〈winrar.exe OR unrar.exe〉 AND FileWrite TO Startup OR Templates、Word 起動直後のスクリプト実行、Normal.dotm の短時間でのサイズ増大。
📈 MITRE ATT&CK
・T1566.001 Spearphishing Attachment: RAR 添付メールで初期侵入を誘発。
・T1204.002 Malicious File / T1203 Exploitation for Client Execution: 悪性アーカイブ展開時に欠陥を突いて実行。
・T1547.001 Registry Run Keys/Startup Folder: Startup へのファイル配置で自動起動。
・T1137.001 Office Template Macros: Normal.dotm 置換で Word 起動時にマクロ自動実行。
・T1071.001 Web Protocols: HTTP(S) による C2 通信。
・T1056.001 Keylogging / T1113 Screen Capture: 情報収集機能。
・T1003 OS Credential Dumping または T1555 Credentials from Password Stores: 資格情報窃取。
・T1041 Exfiltration Over C2 Channel: データ持ち出し。
・T1485 Data Destruction: GamaWiper 等の破壊活動(報告事例)。
🏢 組織規模別助言
小規模(〜50名): WinRAR を一括更新し、旧版をアンインストール。メールで RAR 添付を既定で隔離、必要時のみ解凍を許可。エンドポイント保護で Startup/Normal.dotm 変更を遮断し、自動隔離を有効化。
中規模(50〜500名): Intune/WSUS で 7.12 への強制更新、WDAC/Applocker で旧版実行拒否。メールゲートウェイのサンドボックス強化、ASR ルール導入。EDR で winrar.exe の書き込み先制限と検知ルールをカスタム実装。
大規模(500名以上): ソフトウェアレピュテーションに基づく実行制御、Egress ゲートウェイで未知ドメイン段階的遮断、脅威インテリジェンス連携で IOC/TTP を自動配信。攻撃シナリオ別の演習(Bitter/Gamaredon 想定)を四半期ごとに実施。
🔎 類似事例
・CVE-2025-8088(CVSS 8.8): WinRAR の別パストラバーサル。併用悪用の報告。
・CVE-2023-38831: WinRAR の拡張子処理欠陥。APT による広範な悪用が知られる。
・CVE-2018-20250: ACE ファイル処理の任意展開。長期にわたり攻撃に利用。
🧭 次の一手
1) 直ちに資産棚卸しで WinRAR バージョンを可視化し、7.12 へ更新・旧版遮断。2) Startup と Normal.dotm の改ざん検査を全台で実施し、異常端末は隔離・証跡保全。3) SOC は本稿の検知観点をルール化し、既存ログを遡及検索。4) セキュアな解凍手順と RAR 添付の取り扱い基準を従業員へ周知。公開各社の詳細分析(BI.ZONE、Foresiet、SecPod、Synaptic Security)も参照し、IOC と TTP を内製コンテンツへ反映すること。
