Через архив — к системе: в WinRAR нашли лазейку для атак
WinRAR позволял запускать код без защиты Windows.
В архиваторе WinRAR обнаружена уязвимость , позволяющая обойти механизм безопасности Windows «Mark of the Web» (MotW), что могло привести к выполнению вредоносного кода. Об этом сообщил координационный центр JPCERT/CC после анализа компании Mitsui Bussan Secure Directions.
Проблема затронула версии WinRAR до 7.11. Суть уязвимости заключалась в том, что при открытии символической ссылки на исполняемый файл в системе Windows не срабатывало стандартное предупреждение о запуске загруженного из интернета файла. В обычных условиях Windows помечает файлы, полученные из ненадёжных источников, специальным флагом, который активирует предупреждение о потенциальной опасности. Однако при использовании символической ссылки эта проверка обходилась, позволяя запускать вредоносные файлы без уведомлений.
Хотя создание символических ссылок требует прав администратора, в сценариях, где злоумышленник уже получил ограниченный доступ к системе или влияет на содержимое архива до его распаковки, такая возможность может стать точкой входа для дальнейшей компрометации. Например, специально подготовленный архив мог бы использоваться для атаки через социальную инженерию, предлагая пользователю открыть файл, который выглядит безобидным.
По данным JPCERT/CC, уязвимость получила идентификатор CVE-2025-31334 и оценку CVSS 6.8. Оценка отражает то, что для успешной атаки требуются определённые условия — в частности, участие пользователя в открытии архива — но последствия могут быть критичными: полный захват контроля над системой, изменение данных и отказ в обслуживании (DoS).
Разработчик WinRAR, компания RARLAB, выпустила обновление, устраняющее уязвимость. Всем пользователям рекомендуется установить версию 7.11 или новее. Пользователям также рекомендуется проверять архивы перед открытием с помощью антивирусных решений и внимательно относиться к файлам, полученным через почту или скачанным из интернета.
В феврале в новой версии 7.10 WinRAR получил улучшения, касающиеся производительности, интерфейса и безопасности. Одним из важных изменений стала возможность ограничить сохранение метки Mark-of-the-Web — теперь архиватор может сохранять только идентификатор зоны, исключая такие данные, как URL или IP-адрес источника. Это снижает риск утечки при передаче файлов, сохраняя при этом защитные механизмы Windows.