في أوائل أغسطس 2025 تم الكشف عن ثغرة حرجة في WinRAR تُعرف رسميًا باسم CVE-2025-8088.
هي ثغرة نوع path traversal / directory traversal في إصدار Windows من WinRAR،
ويمكن للمهاجمين بواسطتها تجهيز أرشيف RAR أو ZIP بصيغة تسمح باستخراج ملفات
إلى مسارات يختارها المهاجم (مثلاً مجلد التشغيل التلقائي أو مجلدات النظام)،
مما يؤدي إلى تنفيذ شيفرة عشوائية عند تشغيل النظام أو تسجيل دخول المستخدم. تم توثيق استغلالها فعليًا
في حملات تصيّد استهدفت نشر برمجية خلفية تُعرف باسم RomCom.
النقاط الأساسية (ما يجب أن تعرفه فوراً)
نوع الثغرة: Path traversal / directory traversal (استخراج ملفات إلى مسارات ضارة).
تم اكتشافها والتبليغ عنها بمشاركة باحثين من ESET.
تم استغلالها على أرض الواقع (in the wild) في حملات تصيّد لتسليم برمجيات RomCom قبل توافر التصحيح.
التصحيح الرسمي: تحديث WinRAR إلى الإصدار 7.13 الذي أغلق الثغرة (إصدار نُشر في أواخر يوليو 2025 / نشرية 30-07-2025).
إذا لم تحدث — انت معرض للخطر.
شرح فني مبسّط للمشكلة
عند استخراج أرشيف تهيئته بشكل خبيث، يقوم WinRAR أحيانًا بتفسير مسارات الملفات
داخل الأرشيف بطريقة تسمح بتجاوز مجلد الوجهة (مثلاً عبر ..\ أو مسارات مطلقة)،
فيؤدي ذلك إلى كتابة ملفات في مجلدات حسّاسة
(مثل %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup)
فتُنفّذ عند دخول المستخدم أو عند بدء النظام. هذا النوع من الهجوم لا يتطلب ثغرة في نظام التشغيل بحد ذاته
الثغرة في كيفية تعامل WinRAR مع مسارات الأرشيف.
من يستهدفه الهجوم؟ وما حجمه الحقيقي؟
الهجمات المبلغ عنها كانت مستهدفة (spear-phishing) ضد مؤسسات وأفراد محددين،
وحملت مرفقات RAR في رسائل بريدية مُقنعة. مع ذلك الثغرة خطيرة بما يكفي
لأن أي مستخدم يفتح أرشيفًا مخطّطًا بعناية يصبح معرضًا للاختراق.
إن المجموعة المرتبطة بهذه الحملة تُنسب إلى RomCom (جهة ذات توجيه جيوسياسي)،
ما يجعل الحملة ذات بعد تجسّسي/استراتيجي وليس مجرد جرائم عشوائية.
ماذا يجب أن تفعل فوراً — قائمة إجراءات عاجلة (للأفراد والشركات)
حدث WinRAR فورًا إلى الإصدار 7.13 أو ما بعده. هذا هو الحل المباشر والوحيد المضمون لسد الثغرة.
إن لم يكن متاحاً عبر التحديث الآلي، نزّل النسخة من موقع WinRAR الرسمي.
لا تفتح/تستخرج أرشيفات RAR الواردة عبر البريد الإلكتروني من مرسلين مجهولين،
حتى لو بدت مقنعة. تعامل معها كملفات مشبوهة.
افتح الأرشيفات المشكوك بها في بيئة معزولة (sandbox / VM) وليس على جهاز العمل المباشر.
افحص الأنظمة بخيارات EDR/AV محدثة وابحث عن مؤشرات وجود RomCom
أو ملفات تم وضعها في دلائل الإقلاع/Startup أو مجلدات النظام بعد تواريخ التعرض المحتملة.
راجع سجلات الاستخراج على نقاط نهاية المستخدم.
فرض سياسات منع تشغيل الملفات من دلائل المستخدم العادية؛
استخدم سياسات AppLocker / SmartScreen / whitelisting حيث أمكن.
للمديرين: عطل خيار فتح الأرشيف تلقائيًا عبر ربط ملحقات أو عبر سياسات المجموعة (GPO)
إن أمكن، وراقب حركة البريد مع مرفقات RAR.
كيف تكشف ما إذا كان جهازك مخترقًا عبر هذه الثغرة؟
وجود ملفات تنفيذية أو سكربتات جديدة في مجلدات Startup، أو ProgramData, أو %APPDATA% بعد فتح أرشيف.
سجلات مكافحة الفيروس تفيد بوجود RomCom أو دلائل تثبيت خلفي.
نشاط شبكي غريب (اتصالات خارجية لـ C2) من أجهزة لم تكن تتصل سابقًا.
رسائل نظام تُظهِر برامج تبدأ تلقائيًا دون إذن المستخدم.
للبحث الدقيق، راجع سجلات الاستخراج (إن وجدت) ووقت وتاريخ فتح الأرشيف،
واطلع على خصائص الملفات المستخرجة (توقيع رقمي، تاريخ إنشاء/تعديل).
توصيات أمنية مؤسسية (مدراء الشبكات)
فرض التحديث المركزي لتطبيقات المستخدمين (SCCM / Intune / أدوات إدارة السوفتوير)
للتأكد من تثبيت WinRAR 7.13 على كل المحطات.
حظر مرفقات RAR على بوابات البريد أو مسحها ديناميكيًا ضمن فك الضغط الآمن (sandbox) قبل التسليم للمستخدم.
نشر قواعد IDS/IPS تبحث عن مؤشرات RomCom أو سلاسل سلوكية مرتبطة بتهيئة ملف الاستخراج لاستغلال traversal.
رفع وعي الموظفين: رسائل تصيّد مرتكزة على ملفات أرشيفية شائعة — التدريب مهم.
تقييم المخاطر النهائي وصراحة لا مهادنة
هذه ليست ثغرة "نظرية" — استُغلت عمليًا، ووجودها في أداة تُستخدم يوميًا يجعلها خطيرة جدًا.
تجاهل التحديث أو الاعتماد على الحظ لأن المستخدم "مادام لا يفتح إلا أرشيفات موثوقة" هو قصر نظر.
التحديث متاح؛ تثبيته يمنع السيناريوهات المباشرة.
إذا كان هدفك تأمين بيئة عمل أو جهاز شخصي مهم — لا تتردّد، حدّث الآن.
مراجع أساسية للمزيد (مصادر موثوقة)
قاعدة بيانات NVD — CVE-2025-8088 (وصف الثغرة). NVD
Win-RAR — صفحة الإصدارات (7.13) وإشعار الإصلاح. WinRAR
BleepingComputer — تقرير عن استغلال الثغرة وحملات RomCom. BleepingComputer
Security Affairs — تحليل الحملة وتفاصيل الاستغلال. Security Affairs
تقارير إخبارية متخصصة (HackRead / Neowin) تغطّي الحاجة لتحديث سريع.
