ESET 安全研究人員發現,知名壓縮軟體 WinRAR 在 Windows 版本中存在「路徑遍歷」漏洞,駭客可利用該缺陷將惡意檔案放進系統的啟動資料夾,讓惡意程式在每次開機時自動執行,長期控制受害電腦。
漏洞原理:惡意檔案繞過解壓路徑限制
正常情況下,WinRAR 應只會將檔案解壓縮到使用者指定的資料夾,但該漏洞可能誘使軟體將檔案放到敏感系統位置,例如單一使用者或全系統的 Windows 啟動資料夾。
一旦惡意檔案被放入這些資料夾,就能在電腦重啟時自動執行,開啟後門、竊取資料或安裝更多惡意軟體。
受影響版本包括 Windows 版的 WinRAR、RAR、UnRAR、可攜式 UnRAR 原始碼與 UnRAR.dll,Unix 和 Android 版本則不受影響。
已被駭客集團 RomCom 利用
ESET 調查顯示,與俄羅斯網路間諜行動有關的駭客組織 RomCom(又稱 Storm-0978、Tropical Scorpius、UNC2596)已經利用此漏洞發動魚叉式網路釣魚攻擊。
手法是向目標寄送含有惡意 RAR 檔的郵件,當受害者用舊版 WinRAR 開啟後,RomCom 惡意程式就會被植入,可竊取敏感資料、安裝額外惡意軟體,並利用加密通訊與偽裝手段躲避偵測。
官方修補與用戶自保
WinRAR 開發團隊已在 2025 年 7 月 30 日釋出 7.13 Final 版本修補該漏洞,並修正部分無關的小錯誤。更新後,軟體將禁止壓縮檔內容被釋出到非指定資料夾。不過,WinRAR 並不會自動更新,使用者需至官方網站手動下載安裝。
專家提醒,WinRAR 全球擁有超過 5 億用戶,是網路犯罪的熱門目標。為避免中招,建議:
-
立即更新至最新版本 WinRAR
-
不隨意開啟不明寄件者的郵件附件
-
使用可掃描壓縮檔惡意程式的防毒軟體
-
定期檢查啟動資料夾,刪除不明檔案
- 延伸閱讀:WinRAR宣佈再度開賣「實體壓縮包」,老牌軟體跨界成潮牌
- 延伸閱讀:最常被盜版的軟體排行榜出爐,Adobe 家族搶下前三,但第四名卻是 WinRAR
- 延伸閱讀:搶救解不開的壓縮檔,WinRAR CRC 錯誤我不怕
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!