CVE-2025-8088 PoC — Path traversal vulnerability in WinRAR

Source

Associated Vulnerability

Readme

# Análise de Segurança: Exploração de Path Traversal no WinRAR (CVE-2025-8088)
> **Nota:** Repositório em desenvolvimento. Este projeto receberá atualizações futuras com análises adicionais, scripts de *análise* (não-exploit) e material para apresentação. Novas versões serão publicadas assim que disponíveis.

Este repositório documenta a análise, o processo de estudo e a prova de conceito (PoC) para a vulnerabilidade de **Directory Traversal** (CWE-35) no WinRAR (**CVE-2025-8088**).

A falha afeta as versões do WinRAR para Windows anteriores à **7.13** e foi classificada com severidade **Alta** (Base Score 8.8).

## I. O Processo de Infecção: De Arquivo ZIP a Código Arbitrário

O sucesso da CVE-2025-8088 reside na simplicidade da interação necessária por parte da vítima: **a execução de código é desencadeada apenas ao descompactar um arquivo malicioso**.

### O Vetor de Ataque Simples

1.  **Engenharia Social (Phishing):** Grupos de ameaças como **RomCom** e **Paper Werewolf** utilizaram esta vulnerabilidade em campanhas de *spear phishing*.
2.  **O Isca (*Decoy*):** Os atacantes enviavam arquivos RAR maliciosos disfarçados de documentos legítimos, como currículos ou relatórios financeiros.
3.  **A Ação do Usuário:** A vítima, na tentativa de acessar o conteúdo, extrai o arquivo RAR malicioso com uma versão vulnerável do WinRAR (≤ 7.12).
4.  **A Exploração Oculta:** Durante a extração, em vez de o arquivo ser depositado no diretório de destino esperado, a falha de *Path Traversal* força o WinRAR a escrever o *payload* (código malicioso) em uma pasta crítica do sistema operacional.

### A Consequência: Persistência no Sistema Operacional

O *exploit* tem como **alvo principal a pasta de inicialização do Windows** (`AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\`).

*   Quando o WinRAR vulnerável descompacta o arquivo, o *payload* é depositado na pasta *Startup*.
*   Na próxima vez que o usuário fizer *login* (após uma reinicialização ou logout), o *payload* é **automaticamente executado**, garantindo persistência.

Este padrão foi usado por grupos de ameaça como o RomCom para **implantar *backdoors* que concediam acesso total aos computadores comprometidos**.

## II. Processos de Estudo e Análise Técnica para Exploração

O desenvolvimento de uma prova de conceito robusta requer um estudo aprofundado das estruturas binárias do formato RAR e das peculiaridades do sistema operacional Windows.

### 1. Manipulação de Cabeçalhos (Headers) RAR 5.0

A vulnerabilidade é explorada através da manipulação dos cabeçalhos do arquivo RAR. Os atacantes não podem simplesmente renomear um arquivo; eles devem forçar o WinRAR a aceitar um caminho malicioso, que é armazenado na estrutura do arquivo.

*   **Estrutura de Arquivos:** O estudo requer o entendimento de como os blocos de dados, como o `File header` e o `Service header`, são formatados. O campo `Name length` e o campo `Name` (que contém o caminho) dentro do cabeçalho do arquivo são alterados.
*   **Patcheamento Binário:** O script de exploração **aplica *patches* nos cabeçalhos RAR** para injetar a sequência de *path traversal* (`..\..\..\`).
*   **Integridade do Arquivo:** Para que o arquivo modificado pareça válido para o WinRAR, o script precisa **recalcular os checksums CRC** (Cyclic Redundancy Checksums). Este tipo de manipulação binária é frequentemente realizado com módulos como o `struct` do Python, usado para interpretar bytes como dados binários empacotados.

### 2. Estratégia de Travessia Multi-Profundidade

O estudo revelou que um grande desafio para a exploração era a incerteza sobre o diretório exato de extração (Desktop, Downloads, etc.).

*   **Solução de Estudo:** Foi desenvolvida a **Estratégia de Travessia Multi-Profundidade**.
*   **Funcionamento:** O *exploit* cria múltiplos arquivos isca (por exemplo, 20 arquivos `File.txt`). Cada arquivo é configurado para tentar percorrer um número diferente de diretórios pai (exemplo: `..\Startup\payload.bat`, depois `..\..\Startup\payload.bat`, até 20 profundidades).
*   **Benefício:** Essa redundância garante que, independentemente da profundidade do diretório onde a vítima extrai o arquivo, **pelo menos um dos *payloads* alcançará o destino fixo** (a pasta *Startup* do Windows).

### 3. Furtividade através de Alternate Data Streams (ADS)

Para incorporar o *payload* de forma furtiva, a pesquisa utiliza um recurso exclusivo do sistema de arquivos NTFS do Windows: os **Alternate Data Streams (ADS)**.

*   O *payload* (um *batch script* ou executável) é anexado a um arquivo isca (como um PDF profissional) via ADS.
*   O uso de ADS e caminhos específicos do Windows, como `RELATIVE_DROP_PATH`, são os principais motivos pelos quais a **geração do *exploit* requer um ambiente Windows**.

## III. Mitigações de Defesa

A vulnerabilidade CVE-2025-8088 foi explorada ativamente (*in the wild*) e está listada no catálogo KEV (Known Exploited Vulnerabilities) da CISA.

A defesa mais crítica é a atualização, visto que a exploração depende de software desatualizado:

*   **Atualize o WinRAR para a versão 7.13 ou superior**.
*   Desative a extração de arquivos de fontes não confiáveis.
*   Monitore logs de segurança para detectar gravações não autorizadas nas pastas de inicialização do Windows.

***

> **Analogia de Estudo:** Imagine o arquivo RAR como uma **encomenda postal**. O *Path Traversal* é como preencher o endereço de entrega com comandos de "voltar para o remetente" (`../`) repetidos. O estudo técnico envolveu descobrir exatamente qual parte do rótulo da encomenda (o cabeçalho RAR) precisava ser adulterada e quantos comandos de "voltar" seriam necessários (a estratégia multi-profundidade) para garantir que, não importa onde o correio (o WinRAR) começasse, o pacote seria depositado no cofre (a pasta *Startup*). A simples ação de "aceitar o pacote" (descompactar) garante a infecção.

File Snapshot

 [4.0K]  /data/pocs/3d65af70da87246ee033c5f1ae6d6ef64ae8da0b
└── [5.9K]  README.md

1 directory, 1 file

Remarks