พบช่องโหว่ใน WinRAR file archiver solution ที่อาจถูกใช้เพื่อหลีกเลี่ยงการแจ้งเตือนด้านความปลอดภัย Mark of the Web (MotW) ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายบน Windows ได้

Mark of the Web เป็นฟังก์ชันการรักษาความปลอดภัยใน Windows ในรูปแบบของ metadata value เพื่อ tag ไฟล์ว่าเป็นไฟล์ที่อาจไม่ปลอดภัย ซึ่งดาวน์โหลดมาจากอินเทอร์เน็ต

เมื่อเปิดไฟล์ executable ที่มี MotW tag Windows จะเตือนผู้ใช้ว่าไฟล์นั้นดาวน์โหลดมาจากอินเทอร์เน็ต และอาจเป็นอันตราย และเสนอตัวเลือกให้ดำเนินการต่อไป หรือยุติการทำงาน

CVE-2025-31334 (คะแนน CVSSv4 6.8/10 ความรุนแรงระดับ Medium) ทำให้ Hacker bypass คำเตือนด้านความปลอดภัย MotW ได้เมื่อเปิด symlink ที่ชี้ไปยังไฟล์ executable ใน WinRAR เวอร์ชันก่อน 7.11

ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามที่ต้องการ โดยใช้ symbolic link ที่สร้างขึ้นเป็นพิเศษ โดยการสร้าง symlink บน Windows ต้องมีสิทธิ์ของผู้ดูแลระบบเท่านั้น

Shimamine Taihei จาก Mitsui Bussan Secure Directions ได้รายงานช่องโหว่นี้ผ่านหน่วยงานส่งเสริมเทคโนโลยีสารสนเทศ (IPA) ในญี่ปุ่น โดยทีมตอบสนองเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ของญี่ปุ่นได้ประสานงานการเปิดเผยข้อมูลกับผู้พัฒนา WinRAR

โดย WinRAR ตั้งแต่เวอร์ชัน 7.10 เป็นต้นไป มีความเป็นไปได้ในการลบข้อมูล alternate data stream ของ MotW (เช่น Location, IP address) ที่อาจถือเป็นความเสี่ยงต่อความเป็นส่วนตัว

ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เคยใช้ประโยชน์จากการ Bypass MotW ในอดีตเพื่อส่งมัลแวร์ต่าง ๆ โดยทำให้ไม่มีคำเตือนด้านความปลอดภัย

เมื่อไม่นานนี้ แฮ็กเกอร์ชาวรัสเซียได้ใช้ประโยชน์จากช่องโหว่ดังกล่าวในโปรแกรม 7-Zip ซึ่งจะไม่มีคำเตือนของ MotW เมื่อทำการ double archiving เพื่อเรียกใช้มัลแวร์ Smokeloader

ที่มา : bleepingcomputer