Kerentanan dalam solusi arsip file Winrar dapat dieksploitasi untuk memotong tanda peringatan keamanan Web (MOTW) dan menjalankan kode sewenang -wenang pada mesin Windows.
Masalah keamanan dilacak sebagai CVE-2025-31334 dan mempengaruhi semua versi WinRar kecuali rilis terbaru, yang saat ini 7,11.
Mark of the Web adalah fungsi keamanan di Windows dalam bentuk nilai metadata (aliran data alternatif bernama ‘zona-identifikasi’) untuk menandai sebagai file yang berpotensi tidak aman yang diunduh dari internet.
Saat membuka yang dapat dieksekusi dengan tag MOTW, Windows memperingatkan pengguna bahwa itu diunduh dari internet dan dapat berbahaya dan menawarkan opsi untuk melanjutkan eksekusi atau menghentikannya.
Symlink ke Executable
Kerentanan CVE-2025-31334 dapat membantu aktor ancaman mem-bypass peringatan keamanan MOTW ketika membuka tautan simbolik (symlink) yang menunjuk ke file yang dapat dieksekusi dalam versi WinRar apa pun sebelum 7.11.
Seorang penyerang dapat menjalankan kode sewenang -wenang dengan menggunakan tautan simbolik yang dibuat secara khusus. Perlu dicatat bahwa symlink dapat dibuat di Windows hanya dengan izin administrator.
Masalah keamanan menerima a Sedang sedangSkor Y 6,8 dan telah diperbaiki dalam versi terbaru Winrar, sebagaimana dicatat dalam log perubahan aplikasi:
“Jika Symlink menunjuk pada Executable dimulai dari Winrar Shell, tanda yang dapat dieksekusi dari data web diabaikan” – Winrar
Kerentanan ini dilaporkan oleh Shimamine Taihei dari Mitsui Bussan Secure Arah melalui Badan Promosi Teknologi Informasi (IPA) di Jepang.
Tim Respons Insiden Keamanan Komputer Jepang terkoordinasi Pengungkapan yang bertanggung jawab dengan pengembang Winrar.
Mulai versi 7.10, WinRar menyediakan kemungkinan untuk menghapus dari informasi aliran data alternatif MOTW (misalnya lokasi, alamat IP) yang dapat dianggap sebagai risiko privasi.
Aktor ancaman, termasuk yang disponsori negara, telah mengeksploitasi bypass MOTW di masa lalu untuk memberikan berbagai malware tanpa memicu peringatan keamanan.
Baru-baru ini, peretas Rusia memanfaatkan kerentanan seperti itu di 7-ZIP ARNIVER, yang tidak menyebarkan MOTW ketika pengarsipan ganda (Mengarsipkan file di dalam yang lain) untuk menjalankan penetes malware SmokeLoader.
