WinRAR Üzerinde Aktif Saldırılar: CVE-2025-6218 Exploit Zinciri Nasıl Çalışıyor?
2025’in son çeyreğinde öne çıkan en kritik güvenlik başlıklarından biri, WinRAR’da keşfedilen ve aktif olarak istismar edilen RCE zafiyeti CVE-2025-6218 oldu. Kötü amaçlı hazırlanmış RAR arşivleri üzerinden tetiklenebilen bu açık, memory corruption kaynaklı yapısı ve düşük kullanıcı etkileşimi gerektirmesi nedeniyle tehdit aktörleri için oldukça cazip bir hedef hâline geliyor.
Exploit’in Çalışma Mantığı
Zafiyet, RAR dosyalarının ayrıştırılması sırasında oluşan bir bounds-checking hatasından kaynaklanıyor. Exploit zinciri genelde şu adımlarla ilerliyor:
* heap spray
* kontrollü bellek taşması
* ROP chain oluşturma
Bu akış sonunda saldırgan arbitrary code execution elde ediyor. Yayınlanan PoC’lerin kısa sürede çeşitli kötü amaçlı kampanyalara entegre edildiği görülüyor.
MITRE ATT&CK Akışı
* T1204 – User Execution
* T1068 – Exploitation for Privilege Escalation
* T1059 – Command Execution
* T1547 – Persistence (DLL Search Order Hijacking)
* T1003 – Credential Access
Exploit sonrası aşamada sık karşılaşılan teknikler arasında token impersonation, LOLBIN kötüye kullanımı ve hafif beacon dropper yerleştirme bulunuyor.
Neden Önemli?
1. WinRAR’ın hem bireysel hem kurumsal ortamlarda yaygın olarak kullanılması saldırı yüzeyini genişletiyor.
2. Parsing aşamasındaki anomaliler birçok EDR tarafından henüz tutarlı şekilde yakalanamıyor.
3. Tehdit aktörleri exploit zincirini otomatikleştirerek spear-phishing kampanyalarıyla birleştirmeye başladı.
Savunma Önerileri
* Etkilenen WinRAR sürümlerinin acilen güncellenmesi
* RAR extraction süreçlerini izleyen özel EDR kurallarının oluşturulması
* Sandbox ortamlarında gelişmiş arşiv analizlerinin yapılması
* Kullanıcı tarafında güvenilir kaynak politikalarının güçlendirilmesi
Bu zafiyet, basit bir dosya formatı manipülasyonunun nasıl tam kapsamlı bir saldırı zincirine dönüşebildiğinin güncel bir örneği. 2026’da dosya tabanlı RCE vektörlerinin yeniden yükselişe işaret eden güçlü bir sinyal niteliği taşıyor.