Una vulnerabilità già corretta continua a mettere a rischio milioni di sistemi Windows. Il caso riguarda WinRAR, uno dei software di compressione più usati al mondo, e mostra quanto un aggiornamento ignorato possa lasciare aperta la porta agli attacchi per mesi.
Secondo i ricercatori di Google Threat Intelligence Group, diverse campagne stanno sfruttando su larga scala la falla CVE-2025-8088, colpendo installazioni obsolete del programma. Dietro queste operazioni ci sono attori con obiettivi diversi: gruppi collegati alla Russia, operatori riconducibili alla Cina e criminali interessati al guadagno economico.
WinRAR vulnerabile e la falla CVE-2025-8088
Il problema interessa le versioni Windows di WinRAR precedenti alla 7.13. La vulnerabilità si basa sugli Alternate Data Streams di NTFS e consente agli aggressori di nascondere codice malevolo dentro archivi che sembrano innocui, spesso accompagnati da documenti esca come PDF, curriculum o comunicazioni amministrative.
Quando la vittima apre il file con una versione affetta dal difetto, WinRAR può essere indotto a scrivere il payload nella cartella Startup di Windows. In questo modo, al riavvio o al successivo accesso dell’utente, il malware parte in automatico e ottiene persistenza sul sistema. La tecnica sfrutta un classico path traversal, cioè la scrittura di file in posizioni diverse da quelle previste dall’estrazione.
Chi sta sfruttando la vulnerabilità
RARLAB ha corretto il problema con WinRAR 7.13, rilasciato a fine luglio 2025. Nonostante ciò, Google ha osservato un utilizzo esteso della falla in campagne ancora attive. In particolare, gruppi legati alla Russia hanno impiegato CVE-2025-8088 contro obiettivi governativi e militari ucraini.
Tra gli attori monitorati compare anche RomCom, gruppo già noto per attività di cyberspionaggio e per campagne mirate contro organizzazioni occidentali. In questi casi, la vulnerabilità è stata usata per distribuire strumenti di accesso remoto, malware per il furto di dati e componenti pensati per mantenere una presenza stabile nei dispositivi compromessi.
Come difendersi da questa minaccia
Lo sfruttamento non riguarda solo operazioni sponsorizzate da Stati. Google ha infatti rilevato abusi della stessa falla anche da parte di organizzazioni criminali che puntano al furto di credenziali, alla diffusione di ransomware e alla compromissione di reti aziendali, con campagne attive in America Latina, Indonesia e altri mercati emergenti.
Il punto critico è che WinRAR non integra un sistema di aggiornamento automatico completo: l’utente deve installare manualmente le nuove versioni. Per questo molti sistemi restano esposti a lungo, trasformando una vulnerabilità già nota in una tipica minaccia n-day. La protezione più efficace è aggiornare subito WinRAR alla versione 7.13 o successiva, controllare le cartelle Startup di Windows e aprire solo archivi provenienti da fonti affidabili.
