Windows-beveiliging te omzeilen via ernstige WinRAR-kwetsbaarheid
Veel gebruikers zullen Mark of the Web (MotW) herkennen als het scherm in Windows dat verschijnt wanneer zij een app van het internet downloaden en vervolgens proberen te installeren. Microsoft waarschuwt in deze MotW-melding voor potentieel schadelijke bestanden, waarbij gebruikers de keuze krijgen om de installatie te annuleren of toch door te zetten. Een lek in WinRAR (CVE-2025-31334) stelt aanvallers echter in staat het MotW-systeem deels uit te schakelen.
Gevaarlijke apps ongemerkt installeren
Concreet kunnen aanvallers via de WinRAR-kwetsbaarheid kwaadaardige code uitvoeren door gebruik te maken van een ‘symbolische link’ (symlink), die verwijst naar een uitvoerbaar bestand. Voor het aanmaken van zo’n symlink moeten zij wel eerst administratorrechten verkrijgen. Zodra dat is gelukt, kunnen zij vanuit de WinRAR-shell kwaadaardige code starten.
Via zo’n lek kunnen aanvallers bijvoorbeeld malware installeren of andere schadelijke applicaties uitvoeren om persoonsgegevens buit te maken. Recent werd een vergelijkbaar lek in de 7-Zip-app al misbruikt door Russische hackers, die daarmee Smokeloader-malware op Windows-systemen installeerden. Het is niet bekend of het beveiligingslek in WinRAR al actief is misbruikt.
Dat er systeemrechten nodig zijn, verkleint het risico op misbruik enigszins. Windows-gebruikers kunnen potentieel misbruik bovendien voorkomen door WinRAR bij te werken naar versie 7.11. In die versie is het lek verholpen. Versie 7.10 bood al wel de mogelijkheid om alternatieve MotW-datastreams (met IP-adressen en locatiedata) uit te schakelen, maar de kwetsbaarheid waarmee de MotW-melding kon worden omzeild, is pas in versie 7.11 opgelost.
