O vulnerabilitate în utilitarul de arhivare WinRAR poate permite unui atacator să evite mecanismul de protecție Mark of the Web (MotW) din Windows atunci când se executa un binar descărcat de pe internet.
WinRAR este un program de arhivare cu milioane de utilizatori care îl folosesc atât pentru comprimarea cât și pentru decomprimarea fișierelor, recunoscut pentru eficiența și versatilitatea sa.
Funcția de securitate Mark of the Web (MotW) din Windows are rolul de a eticheta fișierele descărcate de pe internet ca fiind potențial nesigure, avertizând utilizatorii cu privire la riscurile asociate.
MotW bypass în WinRAR
Vulnerabilitatea CVE-2025-31334 permite ocolirea avertismentelor MotW în toate versiunile WinRAR, exceptând 7.11, care în prezent este cea mai recentă.
Exploatarea este posibilă la deschiderea unui symlink (legătură simbolică) către un fișier executabil.
Un symlink, sau legătură simbolică, este o referință care indică către un alt fișier sau director.
În contextul vulnerabilității CVE-2025-31334 din WinRAR, avertismentul MotW nu mai este generat atunci când un symlink către un executabil este deschis din shell-ul WinRAR.
Un atacator poate profita de această vulnerabilitate pentru a executa cod arbitrar pe un sistem Windows.
Vulnerabilitatea are un nivel de severitate mediu, de 6,8 și a fost raportată de Shimamine Taihei de la Mitsui Bussan Secure Directions, o companie ce oferă soluții de securitate informatică.
WinRAR a reparat defectul în ultima versiune curentă, 7.11, și a marcat modificarea în jurnalul de actualizări al aplicației.
Hackeri ruși exploatează MotW bypass în 7-Zip
În atacuri descoperite anul trecut în septembrie, mai multe organizații din Ucraina au fost vizate într-o campanie ce livra malware dropper-ul Smokeloader, care poate funcționa și ca backdoor.
Atacatorii s-au dovedit a fi de origine rusească și au folosit o vulnerabilitate, zero-day la momentul respectiv, în arhivatorul gratuit 7-Zip ce permitea evitarea protecției MotW din Windows.
Atacatorii pot evita avertismentul MotW folosind diverse containere (de compresie sau de imagini) care poartă marca MotW atunci când sunt descărcate de pe internet, dar eticheta nu este atașată și fișierelor dinăuntru.
De aceea, este important ca utilizatorii să descarce fișiere care vin din surse recunoscute ca fiind sigure.
