WinRAR 漏洞可绕过Windows MotW安全警报

WinRAR 文件压缩解决方案中存在一个漏洞 (CVE-2025-31334)，可被用于绕过 Windows 设备的MotW 安全警报并执行任意代码，影响除了最新版本7.11以外的所有版本。

MoTW 是以元数据值形式（交换数据流 “zone-identifier”）存在于 Windows 中的一个安全功能，用于标记从互联网下载的可能不安全的文件。

当通过 MotW 标记打开可执行文件时，Windows 会提醒用户称该文件下载自互联网，可能是有害的，并会提供继续执行或终止的选项。

从符号链接到可执行文件

CVE-2025-31334有助于威胁行动者在打开 WinRAR 7.11 之前版本中打开指向可执行文件的符号链接时，绕过 MotW 安全警报。攻击者可通过使用一个特殊构造的符号链接执行任意代码。值得注意的是，只有通过管理员权限才能在 Windows 上创建符号链接。

该漏洞的评分为6.8，为中危级别，已在 WinRAR 最新版本中修复。该应用的变更日志中提到，“如指向一份可执行文件的符号链接从 WinRAR shell 中启动，则可执行的 MotW 数据被忽视。”

该漏洞由日本三井物产安全方向公司的研究员 Shimamine Taihei 通过信息技术推广局 (IPA) 报送。日本计算机安全事件响应中心与 WinRAR 开发人员协同披露该漏洞。

从 7.10 版本开始，WinRAR 提供从MotW 删除交换数据流信息（如位置、IP地址）的选项，以免用户遭隐私风险。包括国家黑客组织在内的威胁行动者们此前利用 MotW 绕过，在未触发安全警报的情况下传播各种恶意软件。最近，俄罗斯黑客利用了位于7-Zip 压缩文档中的一个类似漏洞。当黑客再次压缩以运行恶意软件释放器 Smokeloader 时，并未波及 MotW。