Lo scorso 18 luglio è stata scoperta una vulnerabilità significativa (CVE-2025-8088) nel programma WinRAR, uno dei software più diffusi al mondo per la gestione di file zip. Questa falla ha consentito al gruppo hacker RomCom di infiltrarsi nei computer degli utenti, compromettendo i loro PC e i dati in esso archiviati, comprese credenziali di accesso e dati personali, anche sensibili.
La campagna del gruppo hacker RomCom
Non si tratta di un episodio isolato, ma di una campagna mirata di cyber-spionaggio.
Il gruppo di origine russa responsabile dell’attacco è RomCom, conosciuto anche con i nomi in codice Storm-0978 e Tropical Scorpius. Già noto a colpi di questo tipo, in passato ha sfruttato la vulnerabilità di Firefox e Microsoft per introdursi nei sistemi degli utenti, costruendosi una reputazione consolidata nel campo delle minacce zero-day.
Come funziona l’attacco a WinRAR e quanto è insidioso?
Come un semplice archivio RAR può essere trasformato in un’arma informatica
Il 18 luglio 2025 i ricercatori di ESET, società specializzata in sicurezza informatica, hanno scoperto che RomCom stava impiegando una vulnerabilità mai documentata prima in WinRAR. Il difetto – classificato come path traversal – consente di manipolare i percorsi di estrazione dei file e di forzarne la collocazione in directory non autorizzate o sensibili, invece che in quelle scelte dall’utente. In questo modo, mediante la predisposizione di archivi appositamente manipolati, nel momento in cui l’utente apre il file compresso e ne estrae i contenuti vengono depositati nel sistema file eseguibili dannosi pronti ad attivarsi successivamente senza che l’utente se ne accorga.
L’efficacia dell’operazione di hackeraggio risiede proprio in questo meccanismo differito, per cui i file non sono eseguiti immediatamente, ma si insediano in cartelle di avvio automatico del sistema operativo. Da lì si avviano in maniera trasparente all’utente, ad esempio all’accensione del PC o all’apertura di applicazioni legittime come Microsoft Edge, perciò il malware entra in funzione senza destare sospetti, se non a compromissione già avvenuta.
La scoperta della vulnerabilità
La falla è stata analizzata e corretta, ma non prima di essere sfruttata.
Secondo il rapporto di ESET, l’analisi dell’exploit – il codice usato dagli hacker per sfruttare il difetto – ha portato a identificare e classificare la vulnerabilità come CVE-2025-8088. Dopo aver inviato una notifica immediata, il team di WinRAR ha rilasciato una versione del software aggiornata e corretta (7.13) il 30 luglio 2025. Tuttavia, come segnalato dall’ACN, nel tempo necessario all’intervento gli hacker avevano già avuto modo di approfittare della falla per predisporre attacchi mirati.
Le misure indicate per difendersi dal rischio
L’aggiornamento del software è una misura di mitigazione del rischio fondamentale.
RARLAB, l’azienda che sviluppa WinRAR, ha corretto la falla con la versione 7.13 del programma. Per chi impiega versioni precedenti è stato indicato di aggiornare il software tempestivamente, scaricando l’ultima disponibile così da evitare di esporsi a ulteriori rischi di infezione.
Se l’aggiornamento non è immediatamente possibile le indicazioni sono di:
- Bloccare l’esecuzione di WinRAR
- Disabilitare o limitare le associazioni .rar se non usate frequentemente
- Eseguire un controllo dei privilegi utente: evitare che l’utente normale abbia permessi che permettano l’installazione o l’esecuzione da directory sensibili
- Filtrare gli allegati email sospetti (.rar inviati via email) tramite gateway di posta o antivirus/EDR
- Sensibilizzare il personale sull’apertura di allegati da fonti non affidabili
Criticità e prospettive
Non sarebbe la prima volta che WiRAR manifesta questo tipo di problema, appena un mese prima infatti era stata identificata una vulnerabilità simile (CVE-2025-6218), anch’essa legata al path traversal. Questo dimostra come certi meccanismi interni del software possano essere sfruttati ripetutamente, rendendolo un bersaglio appetibile per gli hacker.
La criticità non risiede soltanto nella scoperta delle vulnerabilità, ma nella gestione del ciclo di aggiornamento: anche se le patch vengono rilasciate con prontezza, i sistemi rimangono vulnerabili fino all’applicazione effettiva dell’aggiornamento. Questa finestra temporale rappresenta un punto debole che viene sistematicamente sfruttato dagli hacker per massimizzare l’efficacia delle campagne.
Insomma, il caso di CVE-2025-8088 mostra quanto sia fondamentale coniugare la rapidità dei vendor nel correggere le vulnerabilità con la capacità delle organizzazioni di distribuire tempestivamente gli aggiornamenti. Solo così è possibile ridurre l’esposizione e contenere l’impatto delle campagne di attacco sempre più mirate e sofisticate.
Spazio88 supporta le aziende nell’individuazione dei rischi informatici e nella definizione di procedure efficaci della loro gestione. Contattaci per una consulenza personalizzata!
