WinRAR resta vulnerabile: falla sfruttata da hacker di Stato

WinRAR resta vulnerabile su milioni di PC: la falla è ancora sfruttata anche da gruppi legati a Cina e Russia

WinRAR è uno di quei programmi che molti utenti Windows installano una volta e poi dimenticano. La celebre “prova infinita” è diventata una tradizione non scritta del web, ma questa abitudine ha un risvolto concreto: una vulnerabilità critica corretta da tempo continua a essere attivamente sfruttata, semplicemente perché tantissimi utenti non aggiornano il software.

Il problema non è la mancanza di una patch, ma la diffusione ancora enorme di versioni obsolete dell’applicazione.

CVE-2025-8088: una falla nota, ma ancora efficace

La vulnerabilità in questione è identificata come CVE-2025-8088, catalogata dal National Institute of Standards and Technology (NIST). Nelle versioni meno recenti di WinRAR si tratta di un bug di path traversal che permette di creare archivi compressi contenenti un payload malevolo nascosto.

Quando l’utente estrae l’archivio con una versione non aggiornata del programma, il codice dannoso viene copiato silenziosamente in directory sensibili del sistema operativo. Tra queste, una delle destinazioni più comuni è la cartella di Avvio automatico di Windows, che garantisce l’esecuzione del malware al successivo avvio o riavvio del PC.

Una dinamica semplice, ma estremamente efficace, soprattutto considerando la popolarità del software.

Un exploit usato anche in operazioni di cyberspionaggio

Secondo il Google Threat Intelligence Group (GTIG), la vulnerabilità CVE-2025-8088 continua a essere ampiamente sfruttata da attori sponsorizzati da governi, in particolare gruppi collegati a Cina e Russia, nonostante la disponibilità della patch.

L’exploit è stato osservato in campagne di spionaggio informatico, con obiettivi che includono unità militari e organismi governativi ucraini. Allo stesso tempo, non si tratta di un rischio limitato al settore pubblico: anche aziende e realtà commerciali sono state colpite, con casi documentati in Indonesia, America Latina e Brasile.

La persistenza di questo vettore di attacco è legata proprio alla lentezza con cui molti utenti aggiornano WinRAR.

La patch esiste, ma l’aggiornamento non è automatico

RARLAB ha risolto ufficialmente la vulnerabilità nel 2025, con il rilascio di WinRAR 7.13. Tuttavia, a differenza di molte applicazioni moderne, WinRAR non dispone di un sistema di aggiornamento automatico.

L’unico avviso sulla disponibilità di una nuova versione compare nella finestra iniziale del programma, la stessa che segnala la scadenza del periodo di prova. Una schermata che molti utenti sono abituati a chiudere senza leggere, ignorando così anche l’avviso di sicurezza.

Il risultato è che milioni di installazioni restano vulnerabili pur avendo a disposizione una correzione ufficiale.

Perché WinRAR è ancora così diffuso

Nonostante cloud storage e connessioni veloci, strumenti di compressione come WinRAR, WinZip e 7-Zip continuano a essere molto usati. Permettono di:

• unire più file in un unico archivio

• proteggere i contenuti con password e crittografia

• ridurre le dimensioni dei file, facilitando download e trasferimenti

WinRAR, in particolare, resta popolare anche grazie alla sua gestione permissiva della licenza, che consente di continuare a usare il programma anche dopo la fine del periodo di prova. Una comodità che, però, contribuisce alla diffusione di versioni non aggiornate.

Cosa fare per mettersi al sicuro

Al momento l’unica soluzione efficace è scaricare manualmente l’ultima versione di WinRAR dal sito ufficiale e installarla. Un’operazione rapida che può evitare infezioni persistenti e difficili da individuare.

Un promemoria utile: anche i software più “storici” e familiari, se trascurati, possono diventare un serio problema di sicurezza.