WinRAR最新披露的漏洞允许攻击者绕过Windows核心安全机制,在受影响系统上执行任意代码。
该漏洞编号为CVE-2025-31334,影响7.11之前的所有WinRAR版本,CVSS评分为6.8分,表明其可能造成高影响攻击。
漏洞详情
该漏洞针对Windows的"网络标记"(Mark of the Web,MotW)安全功能,该功能会对来自不受信任来源(如互联网)的文件进行标记并限制其执行。
攻击者可利用WinRAR处理指向其他文件或文件夹的符号链接时的弱点来绕过这些安全警告。
当用户解压包含特制符号链接的恶意压缩包时,WinRAR无法将MotW标记应用于链接的可执行文件。这使得威胁行为者能够在不触发Windows标准安全警报的情况下执行恶意代码。
- 权限要求
:在默认Windows配置中,创建符号链接通常需要管理员权限,这限制了漏洞的广泛利用。但已遭入侵的管理员账户或权限设置宽松的系统仍面临风险。 - 攻击途径
:用户必须打开恶意压缩包或访问托管武器化文件的受感染网页。成功利用可使攻击者以登录用户身份控制受害者系统。 - 恶意软件投放
:虽然尚未确认有活跃攻击,但类似漏洞(如2023年的CVE-2023-38831)曾被用于投放DarkMe和Agent Tesla等恶意软件。
受影响软件
7.11之前的WinRAR版本存在该漏洞,开发商RARLAB已在最新更新中修复。强烈建议用户立即升级。
- 更新WinRAR
:从RARLAB官网安装7.11或更高版本。 - 限制符号链接创建
:在企业环境中确保只有受信任的管理员能创建符号链接。 - 提高警惕
:避免打开来自不受信任来源的压缩文件,即使它们看起来无害。
该漏洞由三井物产Secure Directions的岛峰泰平发现,并通过JPCERT/CC和信息安全早期预警合作伙伴计划协调披露。
此次补丁发布凸显了归档工具在平衡功能与安全性方面面临的持续挑战,尤其是当攻击者越来越多地针对WinRAR等拥有全球超5亿用户的流行软件时。
该漏洞凸显了MotW绕过漏洞的风险,此类漏洞也曾影响7-Zip等其他工具(CVE-2025-0411)。这类漏洞利用可实现"无文件"攻击,使恶意负载规避传统检测机制。
RARLAB的快速响应与其处理过往漏洞(包括2023年修复的关键漏洞CVE-2023-38831)的方式一致。但此类问题的反复出现强调了持续软件审计和主动用户更新的必要性。
虽然CVE-2025-31334的利用门槛降低了其直接风险,但企业和个人仍应将其视为严重威胁。
及时打补丁和遵循网络安全最佳实践仍是防御针对归档软件的不断演变的攻击途径的最有效方法。
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):WinRAR 网络标记绕过漏洞可导致攻击者执行任意代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论