CVE-2025-6218 ช่องโหว่ WinRAR วางมัลแวร์ใน Startup อัปเดตด่วน 7.12 แก้แล้ว

CVE-2025-6218 ช่องโหว่ WinRAR ที่วางมัลแวร์ใน Startup ได้โดยไม่ต้องมีสิทธิ์ Admin

CVE-2025-6218 เป็นช่องโหว่ร้ายแรงระดับ High (CVSS 7.8) ใน WinRAR เวอร์ชัน 7.11 และต่ำกว่าบน Windows ช่องโหว่ประเภท Directory Traversal นี้เปิดทางให้แฮกเกอร์วางมัลแวร์ลงในโฟลเดอร์ Startup ของระบบ ทำให้มัลแวร์ทำงานอัตโนมัติทุกครั้งที่เปิดเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์ Administrator

ช่องโหว่นี้ได้รับการแพตช์แล้วใน WinRAR 7.12 beta 1 ที่ออกเมื่อ 10 มิถุนายน 2025 หากยังไม่อัปเดต ควรดำเนินการทันที

กลไกการโจมตีทำงานอย่างไร

การโจมตีเริ่มจากผู้ใช้เปิดไฟล์ Archive ที่ถูกสร้างขึ้นเป็นพิเศษ มักถูกส่งทางอีเมลหรือดาวน์โหลดจากเว็บไม่น่าเชื่อถือ WinRAR ถูกหลอกให้แตกไฟล์ไปยังเส้นทางที่ไม่ควรเข้าถึงได้ โดยเฉพาะโฟลเดอร์ Startup ของ Windows

แฮกเกอร์ใช้เทคนิคซ้อน Path Traversal หลายชั้นในโครงสร้าง Archive เพื่อหลบเลี่ยงการตรวจสอบเส้นทาง ผลคือมัลแวร์ถูกวางใน Startup และทำงานอัตโนมัติเมื่อผู้ใช้ล็อกอินครั้งถัดไป

ผลกระทบที่ร้ายแรง

แฮกเกอร์สามารถขโมย Cookies ของเบราว์เซอร์เพื่อเข้าถึง Session โดยไม่ต้องรู้รหัสผ่าน เข้าถึงข้อมูลจาก Password Manager เข้ารหัสเอกสารเรียกค่าไถ่ (Ransomware) หรือติดตั้ง Backdoor ควบคุมเครื่องจากระยะไกล

สิ่งที่น่ากังวลคือการโจมตีนี้ทำงานด้วยสิทธิ์ User ปกติ ไม่ต้องมีสิทธิ์ Admin ทำให้โจมตีได้ง่ายกว่าช่องโหว่หลายตัว

สำหรับองค์กรที่ต้องการปกป้องเซิร์ฟเวอร์จากภัยคุกคาม บริการ Security จะช่วยตรวจจับและป้องกันการโจมตีอย่างมีประสิทธิภาพ

วิธีตรวจจับการโจมตี

ใช้ YARA Rule ที่ออกแบบมาตรวจจับ Pattern ของ Path Traversal ในไฟล์ Archive โดยค้นหา String ที่มี ".." ซ้อนกันหลายชั้นและอ้างอิงถึงโฟลเดอร์ Startup

ระบบ EDR ตรวจจับพฤติกรรมผิดปกติได้ เช่น การสร้างไฟล์ใหม่ในโฟลเดอร์ Startup ที่ไม่ได้มาจากการติดตั้งซอฟต์แวร์ปกติ แต่ Antivirus แบบ Signature-based อาจตรวจจับไม่ได้เพราะเป็นเทคนิค Fileless

แนวทางป้องกันและแก้ไข

อัปเดต WinRAR เป็น 7.12 ทันที

สิ่งแรกที่ต้องทำ อัปเดต WinRAR เป็น 7.12 beta 1 หรือใหม่กว่า เป็นวิธีที่ตรงจุดและมีประสิทธิภาพที่สุด

ปิดการแตกไฟล์อัตโนมัติ

ปิด Auto-extract เพื่อป้องกันไม่ให้ไฟล์ถูกแตกอัตโนมัติเมื่อเปิด Archive

สแกนโฟลเดอร์ Startup ทุกเครื่อง

ตรวจสอบโฟลเดอร์ Startup ของทุกเครื่องในระบบเพื่อหาไฟล์ที่น่าสงสัย

ตั้ง Alert ในระบบ SIEM

ตั้ง Alert สำหรับ Pattern ที่เกี่ยวกับ Path Traversal เพื่อตรวจจับความพยายามโจมตีแบบ Real-time

ไทม์ไลน์เหตุการณ์สำคัญ

ช่องโหว่เปิดเผยผ่าน Zero Day Initiative เดือนมิถุนายน 2025 WinRAR ออกแพตช์ 7.12 beta 1 วันที่ 10 มิถุนายน 2025 ภายในสองสัปดาห์ Exploit Kits เริ่มนำช่องโหว่ไปใช้โจมตีแบบกว้าง และมีแคมเปญ Phishing ที่ใช้ช่องโหว่นี้อย่างต่อเนื่อง

การป้องกันระดับองค์กร

องค์กรที่มีเครื่องจำนวนมากต้องอัปเดต WinRAR ทั่วทั้งองค์กรเป็นเรื่องเร่งด่วน ตั้งค่า Sandbox สำหรับไฟล์แนบอีเมล และจัดอบรมพนักงานให้ระวังการเปิด Archive จากแหล่งไม่น่าเชื่อถือ

เซิร์ฟเวอร์ก็ต้องได้รับการปกป้องเช่นกัน Dedicated Server ที่มีระบบรักษาความปลอดภัยระดับสูงช่วยลดความเสี่ยง รวมถึง Colocation ที่มี Firewall และ Monitoring ครบวงจร

คำถามที่พบบ่อย (FAQ)

ใช้ 7-Zip แทน WinRAR ปลอดภัยกว่าไหม

ช่องโหว่นี้เฉพาะเจาะจงกับ WinRAR 7-Zip ไม่ได้รับผลกระทบ แต่ซอฟต์แวร์ทุกตัวมีความเสี่ยงช่องโหว่ สิ่งสำคัญคือการอัปเดตสม่ำเสมอไม่ว่าจะใช้ตัวไหน

Mac และ Linux ได้รับผลกระทบไหม

ไม่ ช่องโหว่นี้ส่งผลเฉพาะ WinRAR บน Windows เท่านั้น เนื่องจากอาศัยโฟลเดอร์ Startup ของ Windows

แค่เปิดไฟล์ Archive ก็ถูกโจมตีได้เลยหรือ

ใช่ แค่เปิดไฟล์ Archive ที่ถูกสร้างขึ้นเป็นพิเศษ WinRAR ก็ถูกหลอกให้แตกไฟล์มัลแวร์ไปยัง Startup ได้ทันที

CVE-2025-6218 เป็นช่องโหว่ที่อันตรายมากเพราะโจมตีง่ายและไม่ต้องการสิทธิ์พิเศษ ผู้ใช้ WinRAR ทุกคนควรอัปเดตเป็นเวอร์ชันล่าสุดทันที ติดต่อ DriteStudio เพื่อวางระบบรักษาความปลอดภัยที่ครอบคลุมสำหรับองค์กรของคุณ