Uma vulnerabilidade na solução de compactação de arquivos WinRAR poderia ser explorada para contornar o aviso de segurança Mark of the Web (MotW) e executar código arbitrário em uma máquina Windows.
O problema de segurança é monitorado como
CVE-2025-31334
e afeta todas as versões do WinRAR, exceto a mais recente, que atualmente é a 7.11.
O Mark of the Web é uma função de segurança no Windows na forma de um valor de metadado (um fluxo de dados alternativo chamado ‘zone-identifier’) para marcar como potencialmente inseguros os arquivos baixados da internet.
Ao abrir um executável com a tag MotW, o Windows adverte o usuário de que ele foi baixado da internet e pode ser prejudicial, oferecendo a opção de continuar a execução ou terminá-la.
A vulnerabilidade
CVE-2025-31334
pode ajudar um agente de ameaça a contornar o aviso de segurança do MotW ao abrir um link simbólico (symlink) que aponte para um arquivo executável em qualquer versão do WinRAR antes da 7.11.
Um atacante poderia executar código arbitrário usando um symlink especialmente criado.
Deve ser notado que um symlink só pode ser criado no Windows com permissões de administrador.
O problema de segurança recebeu uma pontuação de severidade média de 6.8 e foi corrigido na última versão do WinRAR, como observado no log de alterações da aplicação:
A vulnerabilidade foi reportada por Shimamine Taihei da Mitsui Bussan Secure Directions através da Information Technology Promotion Agency (IPA) no Japão.
A equipe de resposta a incidentes de segurança de computadores do Japão coordenou a divulgação responsável com o desenvolvedor do WinRAR.
A partir da versão 7.10, o WinRAR oferece a possibilidade de remover do fluxo de dados alternativo MotW informações (por exemplo, localização, endereço IP) que poderiam ser consideradas um risco à privacidade.
Agentes de ameaças, incluindo aqueles patrocinados pelo estado, exploraram brechas do MotW no passado para entregar diversos malwares sem acionar o aviso de segurança.
Recentemente, hackers russos exploraram tal vulnerabilidade no compactador 7-Zip, que não propagava o MotW ao arquivar duplamente (arquivar um arquivo dentro de outro) para executar o dropper de malware Smokeloader.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...