Een nieuw ontdekte kwetsbaarheid in WinRAR maakt het mogelijk om de ‘Mark of the Web’ (MotW)-waarschuwing in Windows te omzeilen. Die waarschuwing verschijnt wanneer een gebruiker een bestand opent dat van het internet werd gedownload, en is bedoeld om te waarschuwen voor mogelijk onveilige inhoud.
De kwetsbaarheid, aangeduid als CVE-2025-31334, treft vrijwel alle versies van WinRAR vóór versie 7.11. Aanvallers kunnen via een zogeheten symbolische link (symlink) verwijzen naar kwaadaardige uitvoerbare bestanden, die vervolgens ongemerkt kunnen worden uitgevoerd. Hoewel hiervoor administratorrechten nodig zijn, vormt het lek toch een ernstig beveiligingsrisico: kwaadaardige software kan worden geïnstalleerd zonder dat Windows de gebruiker waarschuwt, en het MotW-label dat normaal voor extra beveiliging zorgt, wordt omzeild.
WinRAR updaten naar versie 7.11
De kwetsbaarheid doet denken aan een eerder beveiligingslek in 7-Zip, waarbij Russische hackers Smokeloader-malware installeerden via een vergelijkbare methode. Voor zover bekend is het lek in WinRAR nog niet actief misbruikt, maar het potentieel voor misbruik is aanwezig. Windows-gebruikers doen er dan ook goed aan om hun versie van WinRAR zo snel mogelijk bij te werken naar versie 7.11. In die versie is de kwetsbaarheid verholpen. Versie 7.10 bood al wel enkele opties om alternatieve MotW-datastreams uit te schakelen, maar de specifieke bug waarmee de beveiligingsmelding werd omzeild, is pas in 7.11 aangepakt. Wie zijn systeem wil beschermen tegen mogelijke aanvallen, installeert dus best meteen de nieuwste versie van de software.
