WinRAR’ın Windows sürümlerinde bulunan CVE-2025-6218 kodlu yol geçişi açığı, Temmuz 2025’ten itibaren birden fazla tehdit aktörü tarafından aktif şekilde sömürüldü. Bu güvenlik açığı, hedef kullanıcıların kötü amaçlı RAR arşivleri açması veya zararlı web sayfalarını ziyaret etmesiyle kod yürütülmesine imkan tanıyor. Saldırılar, özellikle hedefli oltalama e-postaları ve makro tabanlı kötü amaçlı içerikler aracılığıyla gerçekleştiriliyor.
Saldırının Genel Çerçevesi
Bu zafiyet, RARLAB tarafından Haziran 2025’te yayımlanan WinRAR 7.12 sürümüyle giderildi. Ancak, yama uygulanmamış sistemlerde saldırganlar, Windows Başlangıç klasörüne zararlı dosyalar yerleştirerek sistem açılışında kötü amaçlı kodun çalışmasını sağlıyor. CVE-2025-6218, CVSS 7.8 skoruyla orta-yüksek risk taşıyor ve sadece Windows platformlarını etkiliyor.
Temmuz 2025’te Rusya merkezli GOFFEE (Paper Werewolf) grubu, CVE-2025-6218 ile birlikte CVE-2025-8088 açığını da kullanarak hedef kuruluşlara oltalama e-postaları gönderdi. Bu kampanyalarda, kötü amaçlı Word makroları içeren RAR arşivleri kullanıldı. Güney Asya odaklı Bitter APT ise aynı açığı, ele geçirilen sistemlerde kalıcılık sağlamak ve C# tabanlı trojanlar bırakmak için kullandı. Bu trojanlar, komut ve kontrol (C2) sunucularıyla iletişim kurarak tuş kaydı, ekran görüntüsü alma, RDP kimlik bilgisi toplama ve dosya sızdırma gibi yeteneklere sahip.
Hangi Sistemler Risk Altında?
WinRAR’ın Windows sürümlerini kullanan tüm kurumlar ve bireysel kullanıcılar risk altında. Özellikle kamu kurumları, askeri ve siyasi organizasyonlar hedef alınmakta. Kasım 2025’te Gamaredon adlı Rus hacker grubu, Ukrayna’daki askeri ve siyasi hedeflere yönelik Pteranodon adlı kötü amaçlı yazılımı yaymak için bu açığı kullandı. Bu operasyonlar, yapılandırılmış ve devlet destekli casusluk ve sabotaj faaliyetleri olarak değerlendiriliyor.
Saldırı Zinciri ve Teknik Detaylar
- Başlangıç: Hedefe yönelik oltalama e-postası ile zararlı RAR arşivi gönderimi.
- İstismar: CVE-2025-6218 yol geçişi açığı kullanılarak Windows Başlangıç klasörüne Normal.dotm gibi makro içeren dosya yerleştirilmesi.
- Yürütme: Word açıldığında otomatik makro çalışması ve C# trojanın aktif hale gelmesi.
- C2 İletişimi: Trojan, “johnfashionaccess[.]com” adresine bağlanarak veri toplama ve komut alma işlemleri gerçekleştiriyor.
Bu saldırı zinciri, standart e-posta makro engellemelerini aşmak için global şablon dosyası manipülasyonunu içeriyor. Ayrıca, CVE-2025-8088 gibi başka yol geçişi açıkları da eş zamanlı olarak kullanılıyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- WinRAR 7.12 ve üzeri sürümlere acilen yükseltme yapın.
- EDR çözümlerinde CVE-2025-6218 ve CVE-2025-8088 için özel tespit kuralları oluşturun.
- Olay müdahale (incident response) süreçlerinde makro tabanlı saldırı vektörlerini önceliklendirin.
- Microsoft Word makro kullanımını kısıtlayarak Normal.dotm gibi global şablon dosyalarını düzenli olarak denetleyin.
- Phishing e-postalarına karşı kullanıcı farkındalığını artırın ve e-posta güvenliği çözümlerini güçlendirin.
- Ağ segmentasyonu ile kritik sistemleri dış tehditlerden izole edin.
- SIEM sistemlerinde RAR arşiv açma ve şüpheli dosya yerleştirme aktivitelerini loglayın ve analiz edin.
- Uzaktan masaüstü protokolü (RDP) erişimlerini çok faktörlü kimlik doğrulama (MFA) ile koruyun.
Kurumsal Senaryo: Finans Kurumunda Risk
Bir finans kuruluşunda çalışanlar, hedefli oltalama e-postalarıyla zararlı RAR arşivleri alıyor. Kullanıcılar dosyayı açtığında, CVE-2025-6218 açığı kullanılarak Normal.dotm dosyası Windows Başlangıç klasörüne yerleştiriliyor. Böylece, her Word açılışında kötü amaçlı makro otomatik çalışıyor ve C# trojan aktif hale geliyor. Trojan, finans kurumunun kritik verilerini tuş kaydı ve ekran görüntüsü yoluyla topluyor, ardından dış C2 sunucusuna gönderiyor. Bu durum, finansal verilerin sızdırılması ve operasyonel kesintilere yol açabilir.
Bu tür senaryolarda, bulut güvenliği çözümleri ve IAM politikaları ile erişim kontrollerinin sıkılaştırılması, saldırı yüzeyini azaltmak için önemlidir.
Sonuç olarak, CVE-2025-6218 açığı, güncellenmemiş Windows tabanlı WinRAR kullanıcıları için ciddi bir tehdit oluşturuyor. Kurumların kapsamlı yama yönetimi, gelişmiş tehdit algılama ve kullanıcı eğitimi ile bu riskleri minimize etmesi gerekiyor.