Kritická chyba ve WinRAR: varování Windows lze obejít

V populárním archivačním nástroji WinRAR byla odhalena nová zranitelnost (CVE-2025-31334), která umožňuje obejít klíčový bezpečnostní mechanismus Windows – Mark of the Web (MotW). Tím se útočníkům otevírá možnost spustit nebezpečný kód bez jakéhokoliv varování pro uživatele.

Windows automaticky označuje soubory stažené z internetu speciálním metadatem, tzv. MotW. Pokud se uživatel pokusí otevřít takto označený spustitelný soubor, systém ho upozorní na možné riziko. Tento jednoduchý prvek představuje důležitou obrannou linii, která brání náhodnému spuštění malwaru.

Chyba v aplikaci WinRAR umožňuje toto bezpečnostní opatření obejít. Pokud útočník vytvoří speciální symbolický odkaz (symlink) na spustitelný soubor a tento symlink je otevřen prostřednictvím WinRAR rozhraní, ochrana MotW se neuplatní – a varování se nezobrazí.

Tato slabina se týká všech verzí WinRAR před verzí 7.11, kde byla chyba opravena.

Zranitelnost má střední závažnost (CVSS 6.8), ale ve specifickém kontextu může být vysoce nebezpečná – například v prostředí, kde má útočník administrátorský přístup (což je nutné pro vytvoření symlinku). V kombinaci s jinými zranitelnostmi nebo sociálním inženýrstvím může jít o účinný nástroj pro tichý průnik do systému.

Zranitelnost nahlásil výzkumník Shimamine Taihei z japonské bezpečnostní firmy Mitsui Bussan Secure Directions. Zajímavostí je, že již od verze 7.10 WinRAR umožňuje manipulovat s Metadaty MotW – např. odstranit z nich informace o původu souboru (IP adresa, URL), což zvyšuje riziko zneužití.

WinRAR ale není jediný nástroj, který byl v souvislosti s MotW zneužit. V nedávné době hackeři z Ruska použili obdobnou slabinu v programu 7-Zip a doručili malware Smokeloader pomocí archivu, který obcházel MotW díky tzv. dvojité archivaci.

Co z toho plyne?

– Aktualizujte WinRAR na verzi 7.11.

– Zvažte audit nástrojů, které zpracovávají externí soubory a archivy.

– V prostředí s vyšším bezpečnostním rizikem omezte možnost vytváření symlinků.

– Posilte monitoring souborových aktivit a podezřelých spouštění z archivů.

Tato chyba potvrzuje, že i nástroje, které běžně považujeme za neškodné, mohou obsahovat kritické slabiny. Důsledná aktualizace softwaru, správné nastavení oprávnění a pochopení bezpečnostních funkcí systému Windows by měly být nedílnou součástí bezpečnostní strategie každé organizace.

Zdroj: bleepingcomputer.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI