Lỗ Hổng WinRAR CVE-2025-31334: Bypass MotW và Thực Thi Mã Tùy Ý

04/04/2025
2 mins read

CVE-2025-31334: Lỗ Hổng WinRAR Cho Phép Bypass Mark-of-the-Web và Thực Thi Mã Tùy Ý

Tổng Quan Về Lỗ Hổng:

  • Tác Động: Lỗ hổng cho phép kẻ tấn công lừa đảo người dùng bằng cách bỏ qua tính năng bảo mật Mark of the Web (MotW) của Windows, tính năng này đánh dấu các tệp tin tải xuống từ nguồn không đáng tin cậy và hạn chế việc thực thi chúng.
  • Phần mềm Bị Ảnh Hưởng: Các phiên bản WinRAR trước 7.11 bị ảnh hưởng bởi lỗ hổng này.
  • Điểm CVSS: Lỗ hổng được đánh giá điểm CVSS là 6.8, cho thấy khả năng gây ra tấn công có ảnh hưởng cao.

Chi Tiết Về Lỗ Hổng:

  • Phương Thức Khai Thác: Kẻ tấn công có thể khai thác một điểm yếu trong cách WinRAR xử lý các liên kết tượng trưng. Bằng cách tạo ra một tệp .rar chứa một liên kết tượng trưng độc hại chỉ vào một tệp thực thi, kẻ tấn công có thể lừa người dùng kích hoạt mã không đáng tin cậy mà không hiển thị thông báo như thông thường.
  • Hệ Quả: Nếu người dùng giải nén và mở liên kết tượng trưng từ một phiên bản WinRAR dễ bị tổn thương, không có hộp thoại cảnh báo nào xuất hiện, ngay cả khi tệp gốc từ nguồn không đáng tin cậy. Điều này cho phép kẻ tấn công thực thi mã tùy ý, có thể dẫn đến:
    • Cài Đặt Phần Mềm Độc Hại: Virus, ransomware và spyware có thể được cài đặt một cách lén lút trên hệ thống.
    • Thỏa Hiệp Dữ Liệu: Thông tin cá nhân, mật khẩu và dữ liệu tài chính có thể bị xâm phạm.
    • Truy Cập Từ Xa: Kẻ tấn công có thể chiếm quyền điều khiển máy tính từ xa.
    • Thiệt Hại Hệ Thống: Mã độc có thể làm hỏng hoặc xóa các tệp hệ thống quan trọng.

Biện Pháp Khắc Phục và Cập Nhật:

  • Cập Nhật WinRAR: Người dùng được khuyến cáo mạnh mẽ nên cập nhật lên phiên bản mới nhất, 7.11, để xử lý lỗ hổng này.
  • Giới Hạn Việc Tạo Liên Kết Tượng Trưng: Đảm bảo chỉ các quản trị viên đáng tin cậy có thể tạo liên kết tượng trưng trong môi trường doanh nghiệp để giảm thiểu rủi ro bị khai thác.
  • Cảnh Giác Của Người Dùng: Tránh mở các tệp nén từ các nguồn không đáng tin cậy, ngay cả khi chúng có vẻ vô hại.

Thông Tin Bổ Sung:

  • Phát Hiện: Lỗ hổng được phát hiện bởi Taihei Shimamine của Mitsui Bussan Secure Directions và được điều phối thông qua JPCERT/CC và Đối Tác Cảnh Báo Sớm An Ninh Thông Tin.
  • Các Lỗ Hổng Tương Tự: Lỗ hổng này làm nổi bật rủi ro của các lỗi bypass MotW, đã ảnh hưởng đến các công cụ khác như 7-Zip.
  • Tài Liệu Tham Khảo: Để biết thêm thông tin chi tiết và giải pháp thực tiễn, tham khảo danh sách tài liệu bên ngoài được cung cấp trong phần tài nguyên của CVE-2025-31334.
Tags