مراقب این آسیب‌پذیری خطرناک WinRAR در ویندوز باشید

آسیب‌پذیری امنیتی جدیدی در نرم‌افزار WinRAR ویندوز به مهاجمان اجازه می‌دهد تا بدون فعال‌شدن هشدارهای امنیتی Mark of the Web در ویندوز، فایل‌های مخرب را اجرا کنند.

به گزارش تک‌ناک، به‌تازگی آسیب‌پذیری خطرناکی در نرم‌افزار WinRAR شناسایی شده است که می‌تواند هشدارهای امنیتی ویندوز موسوم به Mark of the Web (MotW) را دور بزند و زمینه را برای اجرای کدهای مخرب روی کامپیوترهای ویندوزی فراهم کند. این آسیب‌پذیری با شناسه CVE-2025-31334 ثبت شده است و به تمام نسخه‌های WinRAR به‌جز جدیدترین نسخه، یعنی ۷.۱۱، مربوط می‌شود.

Mark of the Web قابلیتی در ویندوز است که با افزودن متادیتا (جریان داده‌ای با نام zone-identifier) به فایل‌های دریافتی از اینترنت، آن‌ها را به‌عنوان فایل‌های بالقوه ناایمن علامت‌گذاری می‌کند. زمانی که کاربر فایل اجرایی دارای این برچسب را باز می‌کند، ویندوز هشدار امنیتی نمایش می‌دهد و از کاربر می‌خواهد درباره ادامه یا توقف اجرا تصمیم‌گیری کند.

بلیپینگ‌کامپیوتر می‌نویسد که آسیب‌پذیری جدید کشف‌شده باعث می‌شود تا اگر فایل مخربی ازطریق پیوند نمادین (Symlink) به فایل اجرایی ارجاع داده شود، این هشدار امنیتی نمایش داده نشود. در نتیجه، مهاجم می‌تواند با طراحی Symlink خاص، کد مخرب خود را بدون اطلاع کاربر اجرا کند. شایان ذکر است که ایجاد Symlink در ویندوز فقط با دسترسی مدیر سیستم (Administrator) ممکن است.

طبق اعلام WinRAR، این مشکل در نسخه ۷.۱۱ برطرف شده و در گزارش تغییرات برنامه آمده است:

اگر Symlink که به فایل اجرایی اشاره می‌کرد ازطریق محیط WinRAR اجرا می‌شد، داده‌های Mark of the Web نادیده گرفته می‌شد.

آسیب‌پذیری خطرناک در نرم‌افزار WinRAR شناسایی شده که می‌تواند هشدارهای امنیتی Windows موسوم به Mark of the Web (MotW) را دور بزند

آسیب‌پذیری مذکور را شیمامینه تای‌هی از شرکت Mitsui Bussan Secure Directions ازطریق آژانس ترویج فناوری اطلاعات ژاپن (IPA) گزارش و گروه واکنش به رخدادهای امنیتی ژاپن (CSIRT) نیز هماهنگی لازم برای افشای مسئولانه این نقص را با توسعه‌دهنده WinRAR انجام داده است. جالب است بدانید از نسخه ۷.۱۰ به‌بعد، WinRAR قابلیتی ارائه کرده است که به کاربر اجازه می‌دهد تا اطلاعات حساس مربوط به جریان داده Mark of the Web مانند موقعیت جغرافیایی یا آدرس IP را به‌منظور افزایش حفظ حریم خصوصی حذف کند.

در سال‌های اخیر، مهاجمان سایبری ازجمله گروه‌های تحت‌حمایت دولت‌ها، بارها از روش‌های دور‌زدن MotW برای انتشار بدافزارهای مختلف استفاده کرده‌اند. در یکی از نمونه‌های اخیر، هکرهای روس با سوءاستفاده از آسیب‌پذیری مشابهی در نرم‌افزار 7-Zip و استفاده از بایگانی دوبل، توانستند بدافزار Smokeloader را بدون فعال‌شدن هشدارهای امنیتی اجرا کنند. به کاربران WinRAR به‌شدت توصیه می‌شود که نرم‌افزار خود را به جدیدترین نسخه به‌روزرسانی کنند تا در برابر این آسیب‌پذیری محافظت شوند.