Novootkrivena ranjivost u WinRAR-u omogućava napadačima da zaobiđu ključni Windows sigurnosni mehanizam, omogućavajući proizvoljno izvršavanje koda na pogođenim sistemima.
Praćena kao CVE-2025-31334, ova mana utiče na sve WinRAR verzije pre 7.11 i dodeljena joj je CVSS ocena 6,8, što odražava njen potencijal za napade sa velikim uticajem.
Detalji o ranjivosti
Ranjivost je usmjerena na sigurnosnu funkciju Windows-a Mark of the Web (MotW), koja označava datoteke preuzete sa nepouzdanih izvora (npr. Internet) i ograničava njihovo izvršavanje.
Napadači mogu iskoristiti slabost WinRAR-ovog rukovanja simboličkim prečicama veza koje upućuju na druge datoteke ili mape kako bi zaobišli ova sigurnosna upozorenja.
Kada korisnik izdvoji malicioznu arhivu koja sadrži posebno kreiranu simboličku vezu, WinRAR ne uspijeva primijeniti MotW zastavicu na povezanu izvršnu datoteku. Ovo omogućava hakerima da izvrše maliciozni kod bez pokretanja standardnih bezbjednosnih upozorenja Windows-a.
- Zahtjevi za privilegije : Kreiranje simboličkih veza obično zahtijeva administratorske privilegije u zadanim Windows konfiguracijama, ograničavajući trenutno široko rasprostranjeno korišćenje. Međutim, kompromitovani administratorski nalozi ili sistemi sa opuštenim dozvolama ostaju u opasnosti.
- Vektor napada : Korisnici moraju otvoriti malicioznu arhivu ili posjetiti kompromitovanu web stranicu na kojoj se nalazi naoružani fajl. Uspješno iskorišćavanje daje napadačima kontrolu nad sistemom žrtve u kontekstu prijavljenog korisnika.
- Isporuka malicioznog softvera : Iako nije potvrđen nijedan aktivni eksploatacija, slične ranjivosti (npr. CVE-2023-38831 u 2023.) su naoružane za implementaciju malicioznog softvera kao što su DarkMe i Agent Tesla.
Pogođeni softver
WinRAR verzije prije 7.11 imaju nedostatak koji je RARLAB, programer, ispravio u najnovijem ažuriranju. Korisnici se snažno pozivaju da odmah nadograde.
- Ažurirajte WinRAR : Instalirajte verziju 7.11 ili noviju sa službene RARLAB web stranice.
- Ograničite kreiranje simboličke veze : Osigurajte da samo pouzdani administratori mogu kreirati simboličke veze u poslovnim okruženjima.
- Pažnja korisnika : Izbjegavajte otvaranje arhiva iz nepouzdanih izvora, čak i ako izgledaju benigno.
Taihei Shimamine iz Mitsui Bussan Secure Directions otkrio je grešku, koja je koordinirana kroz JPCERT/CC i Partnerstvo za rano upozoravanje na sigurnost informacija.
Uvođenje zakrpe naglašava tekuće izazove sa kojima se alati za arhiviranje suočavaju u balansiranju između funkcionalnosti i sigurnosti, posebno jer napadači sve više ciljaju široko korišteni softver poput WinRAR-a, koji ima preko 500 miliona korisnika širom svijeta.
Ova ranjivost naglašava rizike nedostataka MotW zaobilaženja, koji su također uticali na druge alate kao što je 7-Zip ( CVE-2025-0411 ). Takvi eksploatacije omogućavaju napade „bez datoteka“ gdje zlonamjerni korisni tereti izbjegavaju tradicionalne mehanizme detekcije.
Brza reakcija RARLAB-a odražava njegovo rukovanje ranjivostima iz prošlosti, uključujući kritični CVE-2023-38831 zakrpljen 2023. Međutim, ponavljanje takvih problema naglašava potrebu za kontinuiranim revizijama softvera i proaktivnim ažuriranjima korisnika.
Dok prepreke za eksploataciju CVE-2025-31334 smanjuju njegov neposredni rizik, organizacije i pojedinci moraju ga tretirati kao ozbiljnu prijetnju.
Neposredno zakrpe i pridržavanje najboljih praksi sajber-sigurnosti ostaju najefikasnija odbrana protiv vektora napada koji ciljaju na arhivski softver.
Izvor: CyberSecurityNews