I./ Tổng quan và phân tích
Lỗ hổng bảo mật CVE-2025-31334, ảnh hưởng đến phần mềm WinRAR cho phép kẻ tấn công bỏ qua cơ chế bảo mật Windows – Mark of the Web, tạo điều kiện cho việc thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Lỗ hổng liên quan đến cơ chế bảo mật của Windows Mark of the Web (MotW) – đây là một tính năng đánh dấu những tệp được tải xuống từ nguồn không đáng tin cậy, và từ đó hạn chế việc thực thi những tệp này. Kẻ tấn công có thể khai thác điểm yều trong việc xử lý các liên kết rút gọn symbolic link của WinRAR chỉ vào các tệp hoặc thư mục khác để bypass cơ chế MotW này.
Khi người dùng giải nén tệp có chứa symbolic link được tạo đặc biệt, WinRAR xử lý sai trong việc áp dụng cờ MotW để liên kết tệp thực thi. Điều này cho phép kẻ tấn công thực thi mã độc hại mà không kích hoạt cảnh báo bảo mật của Windows.
II./ Điều kiện khai thác
Để có thể khai thác thành công lỗ hổng CVE-2025-31334:
- Việc tạo liên kết symbloic thường yêu cầu các đặc quyền cao như quản trị viên (administrator) trong các cấu hình Windows mặc định, hạn chế khai thác lây lan ngay lập tức.
- Vector tấn công: Người dùng phải mở một tệp nén độc hại hoặc truy cập vào một trang web bị thỏa hiệp lưu trữ tệp nén độc hại. Khai thác thành công cho phép kẻ tấn công kiểm soát hệ thống nạn nhân trong bối cảnh người dùng đã đăng nhập.
III./ Ảnh hưởng và giảm thiểu rủi ro
Nhà phát hành WinRAR đã phát hành phiên bản mới cho các sản phẩm tương ứng, bao gồm bản vá cho lỗ hổng này, cụ thể như sau:
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | WinRAR | < 7.11 | 7.11 hoặc cao hơn |
- Hạn chế việc tạo các Symbolic link
- Nâng cao cảnh giác: Tránh mở các tài liệu nén từ các nguồn không đáng tin cậy
***Tham khảo
