Vulnerabilidade no WinRAR: falha CVE-2025-6218 já é explorada por três grupos cibercriminosos

Vulnerabilidade no WinRAR identificada como CVE-2025-6218 está sendo explorada de forma ativa por, pelo menos, três grupos de cibercriminosos, colocando em risco milhões de usuários que ainda utilizam versões anteriores à 7.12 do popular compactador de arquivos.

Vulnerabilidade no WinRAR: panorama do incidente e avaliação de gravidade

O fato central é a descoberta de uma falha crítica no WinRAR, catalogada como CVE-2025-6218 e classificada com pontuação 7,8 na escala CVSS, indicador de alta gravidade. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou o problema ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 9 de dezembro de 2025, depois de confirmar evidências concretas de campanhas maliciosas em andamento. Essa inclusão obriga órgãos federais norte-americanos a aplicar o patch de correção até 30 de dezembro de 2025, conforme a Diretiva Operacional Vinculante 22-01.

O WinRAR, por sua ampla adoção e por não possuir atualização automática, se torna um alvo particularmente atraente. Qualquer computador com Windows que execute o software na versão 7.11 ou anterior permanece suscetível, enquanto edições para Unix ou Android não são afetadas pelo erro específico.

Vulnerabilidade no WinRAR: detalhes técnicos do CVE-2025-6218

A CVE-2025-6218 é classificada como falha de directory traversal, ou travessia de diretórios. Esse tipo de vulnerabilidade surge quando um aplicativo não valida corretamente os caminhos informados em arquivos de entrada. No caso do WinRAR, a checagem insuficiente ocorre durante a descompressão: arquivos incluídos no pacote podem especificar caminhos relativos como “..\” e, com isso, escapar da pasta de destino definida pelo usuário.

O resultado prático é a possibilidade de gravar conteúdos maliciosos em locais críticos do sistema operacional. Entre os alvos mais visados está a pasta de Inicialização do Windows. Um arquivo colocado nesse diretório é executado automaticamente no próximo logon, sem exigir privilégios administrativos nem interação adicional da vítima.

Para que o ataque se concretize, basta que o usuário abra um arquivo compactado ou acesse um site que gatilhe a extração automática. Assim que o conteúdo é descompactado, o código embutido é executado, concedendo controle parcial ou total ao invasor, que pode instalar backdoors, capturar credenciais ou persistir de outras formas no sistema comprometido.

Vulnerabilidade no WinRAR: vetores de ataque e processo de exploração

Vários fatores contribuem para a eficiência dessa exploração. Primeiro, o WinRAR é frequentemente utilizado para distribuir documentos, fotos e softwares por e-mail ou serviços de compartilhamento em nuvem. Segundo, as mensagens de phishing costumam adicionar uma camada de engenharia social, convencendo a vítima a interagir com o conteúdo suspeito.

O fluxo típico de ataque envolve quatro etapas:

1. Criação de um arquivo RAR contendo executáveis ou scripts maliciosos que abusam da falha de travessia de diretórios;

2. Distribuição do pacote por e-mail, anexando títulos que sugerem relevância para o alvo, como contratos, relatórios financeiros ou comunicados governamentais;

3. Ação da vítima ao extrair o arquivo, momento no qual os caminhos manipulados direcionam os componentes maliciosos para pastas sensíveis;

4. Execução automática após reinício ou abertura de aplicativos afetados, estabelecendo comunicação com o servidor de comando e controle do atacante.

Nesse cenário, mesmo usuários sem privilégios administrativos podem ser alvos eficazes, pois o mecanismo de inicialização do Windows ou os diretórios de templates do Microsoft Office operam com permissões suficientes para disparar o código armazenado.

Grupos que já exploram a vulnerabilidade no WinRAR

Três coletivos distintos foram mapeados utilizando a CVE-2025-6218 em campanhas direcionadas:

GOFFEE (Paper Werewolf) – O grupo combina a falha recém-divulgada com outra vulnerabilidade do WinRAR, a CVE-2025-8088, em ataques observados desde julho de 2025 contra entidades russas. Seu vetor primário é o envio de e-mails de phishing com anexos RAR.

Bitter (APT-C-08 ou Manlinghua) – Focado no sul da Ásia, esse ator de ameaça utiliza arquivos RAR com nomes chamativos que, além do documento Word aparente, carregam um template A3 malicioso. Após a extração, o componente é copiado para a pasta de templates do Microsoft Word como Normal.dotm. Por ser carregado sempre que o Word é aberto, o template mal-intencionado garante execução contínua em segundo plano, favorecendo a captura de senhas, exfiltração de arquivos e realização de screenshots.

Gamaredon – Alinhado a interesses russos e ativo em operações contra instituições ucranianas, o grupo utiliza a falha para distribuir o malware Pteranodon. A metodologia recorre a mensagens de phishing que imitam comunicações militares ou governamentais, reforçando o engano e ampliando a taxa de abertura dos anexos.

Impacto potencial da vulnerabilidade no WinRAR em usuários e organizações

A amplitude do risco vai além dos alvos destacados pelos grupos citados. Qualquer empresa que manipule arquivos RAR, especialmente em departamentos que recebem anexos externos, pode ser afetada. Entre as consequências mais prováveis estão:

• Comprometimento de estações de trabalho com roubo de credenciais;

• Instalação de ferramentas de acesso remoto, possibilitando espionagem ou movimentação lateral em redes corporativas;

• Implantação de ransomwares que criptografam dados críticos e exigem resgate;

• Violação de sigilo em organizações governamentais, financeiras ou de saúde, com potencial prejuízo regulatório e reputacional.

Como o WinRAR não atualiza de forma automática, a janela de exposição tende a permanecer aberta até que administradores ou usuários finais adotem a versão corrigida. Esse hiato pode ser prolongado em ambientes onde a checagem de software terceirizado não é parte de processos regulares de gestão de ativos ou onde a cultura de atualização não está consolidada.

Como corrigir a vulnerabilidade no WinRAR e reduzir riscos

A RARLAB distribuiu a versão 7.12 do WinRAR em junho de 2025, eliminando a exploração conhecida. O processo de mitigação envolve:

1. Verificar a versão instalada: abrir o WinRAR, acessar “Ajuda” > “Sobre o WinRAR” e confirmar se o número exibido é 7.12 ou superior.

2. Baixar a edição atualizada: fazer o download diretamente no site oficial da RARLAB. O instalador substitui a versão antiga sem necessidade de desinstalação.

3. Implantar em escala corporativa: em ambientes empresariais, utilizar ferramentas de gestão de software para distribuir o pacote MSI ou EXE. É recomendável incluir a checagem de versão do WinRAR em inventários periódicos.

4. Revisar políticas de anexos: configurar filtros de e-mail para bloquear arquivos compactados de remetentes externos ou analisá-los em sandbox antes de permitir o download pelo usuário.

5. Educar usuários finais: reforçar programas de conscientização sobre phishing, destacando que documentos inesperados, mesmo quando compactados, podem conter ameaças que não dependem da execução de macros visíveis.

Diretrizes oficiais e prazos para a vulnerabilidade no WinRAR

Em função da inclusão da CVE-2025-6218 no catálogo KEV, todas as agências federais dos Estados Unidos devem aplicar o patch até 30 de dezembro de 2025. Organizações fora do escopo governamental não estão legalmente obrigadas, mas enfrentam riscos equivalentes. Especialistas recomendam que empresas privadas adotem o mesmo prazo interno, alinhando-se às melhores práticas de resposta a vulnerabilidades e evitando exposição prolongada.

O ciclo de atualização é concluído ao confirmar que não há estações executando versões 7.11 ou anteriores. Auditores de segurança podem empregar scanners de vulnerabilidade que detectam a assinatura do executável do WinRAR, garantindo a erradicação do software legado.

A partir do cumprimento desse prazo, a atenção se volta para o monitoramento contínuo de indicadores de compromisso associados aos grupos GOFFEE, Bitter e Gamaredon, bem como para a aplicação de futuras correções liberadas pela RARLAB.