Μια ευάλωτη ευπάθεια στη λύση Archiver αρχειοθέτησης WinRAR θα μπορούσε να εκμεταλλευτεί για να παρακάμψει το σήμα του ιστού (MOTW) προειδοποίηση ασφαλείας και να εκτελέσει αυθαίρετο κώδικα σε ένα μηχάνημα Windows.
Το ζήτημα ασφαλείας παρακολουθείται ως CVE-2025-31334 και επηρεάζει όλες τις εκδόσεις του WinRar εκτός από την πιο πρόσφατη έκδοση, η οποία είναι σήμερα 7.11.
Το σήμα του ιστού είναι μια συνάρτηση ασφαλείας στα Windows με τη μορφή τιμής μεταδεδομένων (μια εναλλακτική ροή δεδομένων που ονομάζεται «ζώνη-αναγνωριστικό») για να επισημάνει ως δυνητικά μη ασφαλή αρχεία που έχουν ληφθεί από το Διαδίκτυο.
Κατά το άνοιγμα ενός εκτελέσιμου με την ετικέτα MOTW, τα Windows προειδοποιούν τον χρήστη ότι λήφθηκε από το Διαδίκτυο και θα μπορούσε να είναι επιβλαβής και προσφέρει την επιλογή να συνεχίσει την εκτέλεση ή να τον τερματίσει.
Symlink στο εκτελέσιμο
Η ευπάθεια CVE-2025-31334 μπορεί να βοηθήσει έναν ηθοποιό απειλής να παρακάμψει την προειδοποίηση ασφαλείας MOTW όταν ανοίγει έναν συμβολικό σύνδεσμο (Symlink) που δείχνει ένα εκτελέσιμο αρχείο σε οποιαδήποτε έκδοση WinRAR πριν από το 7.11.
Ένας εισβολέας θα μπορούσε να εκτελέσει αυθαίρετο κώδικα χρησιμοποιώντας έναν ειδικά δημιουργημένο συμβολικό σύνδεσμο. Θα πρέπει να σημειωθεί ότι μπορεί να δημιουργηθεί ένα symlink στα παράθυρα μόνο με δικαιώματα διαχειριστή.
Το ζήτημα ασφαλείας έλαβε ένα μεσαίου σοβαρούY Score 6,8 και έχει καθοριστεί στην τελευταία έκδοση του WinRar, όπως σημειώνεται στο αρχείο καταγραφής αλλαγών εφαρμογών:
“Αν η Symlink που δείχνει σε ένα εκτελέσιμο ξεκίνησε από το Winrar Shell, αγνοήθηκε το εκτελέσιμο σήμα των δεδομένων ιστού” – Οινοπνευματώδη
Η ευπάθεια αναφέρθηκε από την Shimamine Taihei του Mitsui Bussan Secure Directions μέσω του Οργανισμού Προώθησης της Πληροφορικής (IPA) στην Ιαπωνία.
Ομάδα απάντησης περιστατικών ασφαλείας υπολογιστών της Ιαπωνίας συντονισμένος την υπεύθυνη αποκάλυψη με τον προγραμματιστή του Winrar.
Ξεκινώντας την έκδοση 7.10, το WinRAR παρέχει τη δυνατότητα απομάκρυνσης από τις πληροφορίες της ροής δεδομένων MOTW εναλλακτικής ροής (π.χ. τη διεύθυνση IP) που θα μπορούσαν να θεωρηθούν κίνδυνος απορρήτου.
Οι ηθοποιοί απειλής, συμπεριλαμβανομένων των κρατικών που χρηματοδοτούνται από το κράτος, έχουν εκμεταλλευτεί το MOTW παράκαμψεις στο παρελθόν για να παραδώσει διάφορα κακόβουλα προγράμματα χωρίς να ενεργοποιήσουν την προειδοποίηση ασφαλείας.
Πρόσφατα, οι Ρώσοι χάκερς αξιοποίησαν μια τέτοια ευπάθεια στο 7-ZIP Archiver, ο οποίος δεν διαδόθηκε το MOTW όταν η διπλή αρχειοθέτηση (αρχειοθέτηση ενός αρχείου μέσα σε ένα άλλο) για να τρέξει το σταγονόμετρο κακόβουλου λογισμικού SmokEloader.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
