CVE-2025-31334: WinRAR Flaw Enables Mark-of-the-Web Bypass and Arbitrary Code Execution
2025/04/03 SecurityOnline — 世界で5億人以上のユーザーを抱える、ファイル圧縮ツールである WinRAR で、新たな脆弱性が発見された。この欠陥を悪用する攻撃者は、Windows にセキュリティ警告を出させずに、悪意のコード実行の機会を手にする。この、Mark-of-the-Web (MotW) バイパス脆弱性の CVE-2025-31334 (CVSS:6.8) は、WinRAR のバージョン 7.11 未満に影響を及ぼすものであり、実際の攻撃シナリオで悪用される可能性があるとされる。
脆弱性 CVE-2025-31334 の原因は、WinRAR がシンボリック・リンク (symlink:ファイル/ディレクトリへのリダイレクト・ポインタ) を処理する方法にある。実行型ファイルを指し示す、悪質なシンボリック・リンクを取り込んだ “.rar” アーカイブを作成する攻撃者は、通常の Windows MotW プロンプトを表示させずにユーザーを騙して、信頼できないコードを起動させる。
通常において、Windows はダウンロードしたファイルに “Mark of the Web”のフラグを付け、そのコンテンツを開く前に、ユーザー対して危険なファイルだと警告する。しかし、新たに発見された 脆弱性 CVE-2025-31334 により、その安全策を攻撃者はすり抜けていく。
脆弱なバージョンの WinRAR を介して、悪意が疑われるシンボリック・リンクを抽出して開く場合であっても、また、そのオリジナル・ファイルがインターネットやメールなどの、信頼できないソースからダウンロードされたものであっても、ユーザーには警告ダイアログが表示されない。
以下のシナリオを想像してほしい。最初に、無害に見えるアーカイブ・ファイルをダウンロードする。その内部には、他のファイルを起動する細工されたシンボリック・リンクが埋め込まれている。つまり、そのシンボリック。リンクは、悪意の実行型ファイルを指している。したがって、WinRAR 経由でリンクされたファイルにアクセスすると、この脆弱性により、通常の MotW 警告が表示されることなく、その悪意の実行型ファイルが起動される。それにより、攻撃者は、以下のアクションを可能にする。
- マルウェアのインストール:ウイルス/ランサムウェア/スパイウェアなどが、秘密裏にシステム上にインストールされる可能性がある。
- 機密データの窃取: 個人情報/パスワード/財務データが侵害される可能性がある。
- リモートアクセスの取得:リモートの攻撃者により、コンピューターが制御される可能性がある。
- システムへの損傷:悪意のコードにより、重要なシステム・ファイルが破損/削除される可能性がある。
すでに WinRAR は、バージョン 7.11 をリリースし、この脆弱性を修正している。 古いバージョンを使用しているユーザーに対して、強く推奨されるのは、この最新バージョンへと、速やかにアップデートすることだ。それが、潜在的な攻撃からシステムを保護するための、最も重要なステップである。
WinRAR などの圧縮/解凍ソフトウェアは、他所で生成されたファイルを処理する上に、それらのファイルを構成する要素が多岐にわたるため、サーバー攻撃の主要なターゲットにされます。それを緩和するために MotW が導入されていますが、それ自体の無力化を取り込む攻撃が繰り返されるという状況にあります。ご利用のチームは、ご注意ください。よろしければ、WinRAR で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.