CVE-2025-6218: Lỗ hổng nguy hiểm trong WinRAR, giải nén file là dính liền mã độc

[WhiteHat Team]

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong phần mềm giải nén WinRAR, cho phép tin tặc âm thầm cài mã độc vào hệ thống ngay khi người dùng giải nén file. Với hàng triệu người sử dụng WinRAR trên toàn thế giới, nguy cơ bị tấn công là rất cao nếu chưa kịp cập nhật bản vá mới nhất.

​

Lỗ hổng có mã định danh CVE-2025-6218 được phát hiện bởi nhà nghiên cứu bảo mật có bí danh "whs3-detonator" và được báo cáo qua nền tảng Zero Day Initiative. Lỗ hổng ảnh hưởng đến các phiên bản WinRAR 7.11 trở về trước trên hệ điều hành Windows.

WinRAR là phần mềm nén và giải nén phổ biến bậc nhất hiện nay, đặc biệt trong môi trường Windows. Đây cũng là một trong những phần mềm từng bị tin tặc lợi dụng nhiều trong quá khứ do người dùng thường xuyên sử dụng phiên bản cũ, ít cập nhật.

Khi người dùng giải nén một tệp lưu trữ (archive) độc hại được tạo bởi tin tặc, WinRAR có thể bị lừa để trích xuất các file tới sai vị trí, chẳng hạn như: Thư mục khởi động (Startup), thư mục hệ thống hoặc các khu vực nhạy cảm khác mà bỏ qua hoàn toàn thư mục người dùng chọn giải nén.

Tin tặc khai thác kỹ thuật “directory traversal” (đi xuyên thư mục) bằng cách nhúng đường dẫn tương đối độc hại vào tên file trong archive. Nếu tệp chứa mã độc được giải nén vào thư mục khởi động, nó có thể tự động chạy khi người dùng khởi động lại máy tính, kích hoạt hành vi đánh cắp dữ liệu, cài phần mềm gián điệp hoặc thiết lập điểm truy cập trái phép vào hệ thống.

Mặc dù mã độc sẽ chỉ chạy với quyền người dùng, không phải quyền quản trị (admin), nó vẫn có thể:

• Đánh cắp cookies, mật khẩu lưu trữ trình duyệt,
• Cài mã độc duy trì truy cập lâu dài (persistence),
• Tạo cửa hậu (backdoor) phục vụ các đợt tấn công tiếp theo.

Điều đáng lo ngại là:

• Người dùng chỉ cần tương tác thủ công (tải file, giải nén,...), việc này rất phổ biến đặc biệt là khi nhận file qua email, mạng xã hội, nhóm chia sẻ tài liệu, v.v...
• WinRAR là phần mềm quen thuộc, nhiều người không có thói quen cập nhật phiên bản mới, dẫn đến bị khai thác từ lỗ hổng cũ.
• Có nhiều kênh phát tán archive độc hại: Qua web, link giả mạo, file đính kèm email, v.v...

Bản vá mới nhất của WinRAR (phiên bản 7.12 beta 1) còn khắc phục một số lỗi bảo mật khác:

• Lỗi chèn HTML (HTML injection): kẻ tấn công có thể nhúng mã HTML/JS vào báo cáo tên file dưới dạng thẻ <script>, có thể kích hoạt mã độc khi mở báo cáo trong trình duyệt.
• Vấn đề khôi phục file và mất độ chính xác thời gian (timestamp) trong file Unix.

Giải pháp, khuyến nghị của chuyên gia dành cho người dùng cá nhân và doanh nghiệp:

1. Cập nhật ngay lên WinRAR 7.12 beta 1 hoặc bản chính thức mới nhất tại trang chủ WinRAR.
2. Không mở file RAR từ nguồn không rõ ràng, đặc biệt từ email lạ, link chia sẻ bất thường.
3. Theo dõi quyền truy cập thư mục hệ thống, kiểm tra các tệp khả nghi trong thư mục Startup (C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup).
4. Thường xuyên kiểm tra cập nhật phần mềm giải nén và các công cụ hệ thống.

Lỗ hổng CVE-2025-6218 là lời nhắc về rủi ro bảo mật tiềm ẩn trong những phần mềm phổ biến và tưởng chừng vô hại như WinRAR. Với xu hướng tấn công tinh vi hiện nay, ngay cả hành động đơn giản như giải nén file cũng có thể là khởi đầu cho một chuỗi lây nhiễm mã độc nếu người dùng mất cảnh giác hoặc sử dụng phần mềm lỗi thời.

Theo Bleeping Computer​