WinRAR存在CVE-2025-31334高危漏洞

免责声明

请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，请务必遵守网络安全法律法规。本文仅用于测试，请完成测试后24小时删除，请勿用于商业用途。如文中内容涉及侵权行为，请及时联系作者，我们会立刻删除并致歉。

一、漏洞背景：绕过Windows核心防御的隐形杀手

WinRAR是一款文件压缩器。该产品支持RAR、ZIP等格式文件的压缩和解压等。“网络标记”（MotW）是 Windows 中的一项安全机制，用于标记从互联网下载的文件为潜在的不安全文件。当一个文件带有 MotW 标记时，操作系统或相关应用程序（如浏览器或邮件客户端）会在执行或打开文件前提示用户，以防止恶意文件在未经用户知情的情况下自动运行代码。

受影响版本的 winrar 在打开指向恶意程序的符号链接文件时可绕过 MotW 标记限制，攻击者可构造恶意的压缩包，在其中嵌入指向恶意程序的符号链接文件来诱骗受害者点击。

MotW机制的作用：Windows通过此功能标记从互联网下载的文件，并在用户打开时弹出安全警告（例如“此文件可能危害计算机”）。然而，CVE-2025-31334通过符号链接（Symbolic Link）的构造漏洞，使恶意文件绕过这一防护，直接运行恶意代码

二、漏洞技术原理：符号链接的“欺骗术”

1. 1. 构造恶意压缩包：攻击者在.rar文件中嵌入特制的符号链接，指向隐藏的可执行文件（如.exe或脚本）。
   2.诱导用户解压

：通过钓鱼邮件、社交软件等途径发送压缩包，伪装成“简历”“税务通知”等正常文件

绕过安全警告：用户解压后点击符号链接时，WinRAR未正确应用MotW标记，导致Windows不弹出安全提示

静默执行恶意代码：攻击者可借此植入勒索软件、间谍程序或远程控制工具

1. 1. 利用条件与限制

权限要求

：默认情况下，创建符号链接需管理员权限，但已遭入侵的账户或权限宽松的系统仍面临风险

用户交互依赖：需用户主动解压并点击链接，但结合社会工程学手段（如伪装成同事文件），攻击成功率显著提升

三、真实攻击场景模拟：你的“无害压缩包”可能是定时炸弹

案例1：钓鱼邮件攻击 攻击者冒充HR部门发送“2025年薪酬调整方案.rar”，压缩包内含指向恶意软件的符号链接。财务人员解压后点击链接，触发勒索软件加密全盘文件。

案例2：网站挂马攻击 下载论坛中的“热门电影资源压缩包”，解压后看似包含视频文件，实则通过符号链接静默安装窃密木马，盗取用户账号密码。

历史教训：2023年的CVE-2023-38831漏洞曾被用于传播DarkMe和Agent Tesla恶意软件，此次漏洞可能成为新一轮攻击的跳板。

四、修复与防御：立即行动，切断攻击链

RARLAB已发布修复版本7.11，彻底堵住符号链接处理漏洞。用户需通过官网（https://www.rarlab.com）下载安装，并卸载旧版本。

• • 限制符号链接权限：通过组策略禁止非管理员用户创建符号链接，降低内部风险

终端防护强化：部署EDR（端点检测与响应）工具，监控异常进程及文件行为

• • 警惕不明来源文件：即使文件看似来自“熟人”，也需验证后再打开。
• • 显示隐藏文件：在Windows设置中取消“隐藏受保护的操作系统文件”，便于识别异常符号链接