Уязвимость CVE-2025-808 в архиваторе WinRAR была оперативно устранена разработчиками еще в июле 2025 года. Однако, как сообщает служба киербезопасности Google, эта брешь в безопасности остается активной до сих пор. Механизм эксплуатации основан на изощренном сочетании ошибки в коде WinRAR и малоизвестной возможности файловой системы Windows NTFS — потоков альтернативных данных. Эта функция позволяет прикреплять к обычному файлу скрытые потоки информации, невидимые для пользователя.
Злоумышленники создают специальный RAR-архив, в котором вредоносная программа маскируется в таком скрытом потоке. Когда пользователь открывает безобидный на вид файл из архива с помощью уязвимой версии WinRAR, происходит скрытое извлечение малвэра в системную папку автозагрузки Windows. Это гарантирует его автоматический запуск при следующем включении компьютера, предоставляя злоумышленникам полный контроль над системой.
Проблема усугубляется существованием целой подпольной экономики, сформировавшейся вокруг подобных эксплойтов. Информация об уязвимости первоначально была выставлена на продажу на закрытых форумах известным брокером под ником «zeroplayer», который специализируется на торговле инструментами для взлома популярного ПО, включая Microsoft Office и VPN-клиенты. Главной же причиной такой долгой «жизни» уже исправленной уязвимости является фундаментальный недостаток WinRAR — отсутствие возможности обновления в автоматическом режиме.
Пользователям приходится вручную проверять наличие новых версий, скачивать и устанавливать их. В результате миллионы компьютеров продолжают работать с устаревшими, уязвимыми версиями архиватора, оставаясь легкой мишенью для киберпреступников, которые хорошо знают о человеческой привычке откладывать обновления.
