Unul dintre cele mai utilizate programe de arhivare la nivel global, WinRAR, a prezentat o vulnerabilitate critică în versiunile sale anterioare versiunii 7.11.

Această vulnerabilitate permite ocolirea sistemului de securitate Mark of the Web (MotW) din Windows, expunând utilizatorii la executarea neautorizată de fișiere periculoase, fără mesajul de avertizare clasic.

Un sistem de protecție eludat de link-uri simbolice. Probleme cu WinRAR

Mark of the Web este un mecanism integrat în Windows care etichetează fișierele descărcate de pe internet ca fiind potențial periculoase.

La deschiderea unui fișier executabil marcat, sistemul emite un avertisment cu privire la riscul reprezentat de acesta, oferind utilizatorului opțiunea de a opri sau continua executarea.

Cu toate acestea, vulnerabilitatea identificată (CVE-2025-31334) permite evitarea acestor avertismente prin utilizarea unui link simbolic (symlink) care indică către un fișier executabil.

În cazul în care un astfel de link este executat prin interfața grafică a WinRAR, avertizarea MotW este ignorată, iar fișierul poate fi rulat fără notificare.

Deși crearea unui link simbolic necesită privilegii administrative, această condiție nu este suficientă pentru a limita utilizarea exploatării în scenarii reale de atac.

Problema a fost rezolvată în versiunea 7.11 a WinRAR, unde dezvoltatorii au asigurat că datele MotW sunt preluate corect, chiar și în cazul fișierelor accesate prin link-uri simbolice.

Vulnerabilitățile MotW, tot mai vizate de atacatori

Vulnerabilitatea a fost raportată de Shimamine Taihei de la Mitsui Bussan Secure Directions, prin intermediul Agenției pentru Promovarea Tehnologiei Informației din Japonia (IPA).

Raportul a fost coordonat cu echipa națională de răspuns la incidente de securitate informatică din Japonia.

Vulnerabilitățile MotW nu sunt noi. Au fost exploatate în trecut, inclusiv de grupuri asociate unor state, pentru campanii de malware.

De exemplu, o vulnerabilitate similară în arhivatorul 7-Zip a fost folosită pentru a răspândi malware printr-o tehnică de arhivare dublă care împiedica activarea corectă a etichetei MotW.

Începând cu versiunea 7.10, WinRAR a introdus o opțiune pentru ștergerea datelor MotW sensibile, cum ar fi adresa IP sau locația fișierului, pentru protejarea intimității utilizatorilor.

Cu toate acestea, vulnerabilitatea descoperită în versiunile anterioare 7.11 demonstrează importanța actualizării aplicațiilor.

Utilizatorii WinRAR sunt sfătuiți să instaleze imediat versiunea 7.11, care conține remedierea pentru această vulnerabilitate.

De asemenea, este recomandat să nu deschideți fișiere de origine necunoscută, chiar dacă ele aparțin unor arhive aparent inofensive, și să utilizați soluții suplimentare de securitate pentru detectarea comportamentelor suspecte în absența avertismentelor MotW.