Zignorowałeś aktualizację WinRAR? Ten exploit może być już na twoim komputerze

Choć od pierwszych ostrzeżeń minęło już kilka miesięcy, luka w WinRAR wciąż pozostaje jednym z najczęściej wykorzystywanych wektorów ataku na świecie. Google potwierdza, że podatność CVE-2025-8088 nadal jest aktywnie eksploatowana, mimo dostępnych poprawek i wyraźnych zaleceń aktualizacji. Problem nie dotyczy pojedynczych kampanii ani jednego regionu. 

Luka związana z obsługą ścieżek w WinRAR została ujawniona latem i szybko doczekała się poprawek w wersjach nowszych niż 7.12. Teoretycznie problem powinien już przejść do historii. W praktyce stało się odwrotnie. Według najnowszego wpisu na blogu Google exploit nadal krąży w aktywnym użyciu i jest wykorzystywany przez co najmniej sześć niezależnych grup.

Wśród nich znajdują się podmioty powiązane z Rosją, takie jak UNC4895, Cybercrime Group oraz APT44, prowadzące działania wymierzone głównie w Ukrainę. Równolegle exploit pojawił się w kampaniach przypisywanych podmiotom z Chin, gdzie służy do dystrybucji złośliwego oprogramowania POISONIVY. Ataki nie ograniczają się do jednego kontynentu. Google odnotowało ich obecność w Indonezji, Ameryce Łacińskiej oraz Brazylii.

Globalny exploit w rękach wielu graczy

CVE-2025-8088 wyróżnia się na tle innych luk z tego samego okresu. W przeciwieństwie do podatności CVE-2025-62221 i CVE-2025-6222, które szybko zniknęły z arsenału atakujących po wdrożeniu poprawek, ten exploit zyskał wyjątkową popularność. Zdaniem analityków Google moment, w którym wiarygodny proof of concept trafia do obiegu, uruchamia lawinowy proces adopcji przez różne środowiska.

Cyberprzestępcy motywowani finansowo oraz grupy wspierane przez państwa sięgają po te same narzędzia niemal jednocześnie. Skutkiem jest gwałtowne skrócenie czasu pomiędzy ujawnieniem luki a jej masowym wykorzystaniem. Eksperci zwracają uwagę, że taki model zagrożeń wymusza zmianę podejścia do bezpieczeństwa, zarówno po stronie użytkowników, jak i twórców oprogramowania.

Dowód na zmianę zasad

Google wprost wskazuje, że szybka komercjalizacja tej podatności pokazuje nową rzeczywistość cyberbezpieczeństwa. Ataki przestają być domeną wyspecjalizowanych zespołów wywiadowczych, a stają się produktem o niemal rynkowym charakterze. W takiej sytuacji tradycyjne poleganie wyłącznie na poprawkach przestaje wystarczać. Kluczowe staje się wykrywanie powtarzalnych schematów działań po skutecznym wykorzystaniu luki.

Szczególnie narażone są osoby i organizacje przetwarzające poufne dane, gdzie opóźnienia w aktualizacjach mają bezpośrednie konsekwencje operacyjne i finansowe. Wpis Google zawiera rozbudowaną analizę techniczną oraz zestaw wskaźników kompromitacji, pozwalających wykryć próby wykorzystania CVE-2025-8088 na zainfekowanych systemach.

Aktualizacja jako linia obrony

Eksperci podkreślają, że największym problemem pozostaje nie sama luka, lecz powszechna praktyka odkładania aktualizacji. Użytkownicy starszych wersji WinRAR oraz systemów operacyjnych pozostają łatwym celem, nawet jeśli podatność została oficjalnie załatana wiele miesięcy wcześniej. Google jednoznacznie zaleca natychmiastową aktualizację WinRAR oraz zaleca migrację z Windows 10 na Windows 11 lub systemy z rodziny Linux.