Một lỗ hổng bảo mật mới được công bố trong WinRAR – công cụ nén tệp được sử dụng rộng rãi nhất thế giới với hơn 500 triệu người dùng – có thể cho phép kẻ tấn công vượt qua cảnh báo bảo mật của Windows và thực thi mã độc mà không kích hoạt bất kỳ cảnh báo nào. Lỗ hổng này được theo dõi với mã định danh CVE-2025-31334, ảnh hưởng đến các phiên bản WinRAR trước 7.11, và được đánh giá mức độ nghiêm trọng CVSS 6.8 do khả năng bị khai thác trong thực tế.
Trọng tâm của CVE-2025-31334 nằm ở cách WinRAR xử lý symbolic links (symlinks) – tức các đường dẫn tượng trưng trỏ đến tệp hoặc thư mục khác. Kẻ tấn công có thể tạo ra các tệp nén .rar chứa symlink độc hại trỏ đến các tệp thực thi, từ đó lừa người dùng khởi chạy mã không tin cậy mà không có bất kỳ cảnh báo nào từ Windows, vốn thường hiển thị thông báo “Mark of the Web (MotW)” đối với các tệp được tải về từ Internet hoặc email.
Bình thường, Windows sử dụng MotW để gắn cờ các tệp có nguồn gốc không đáng tin cậy, yêu cầu xác nhận từ người dùng trước khi mở. Tuy nhiên, với lỗ hổng này, kẻ tấn công có thể vượt qua lớp bảo vệ này một cách âm thầm.
Cụ thể, khi người dùng giải nén và mở symlink từ một phiên bản WinRAR bị ảnh hưởng, không có bất kỳ hộp thoại cảnh báo nào được hiển thị, kể cả khi tệp được tải về từ Internet hoặc được đính kèm trong email. Bên trong, giữa các tệp bình thường khác, là một symlink được tạo thủ công. Khi người dùng truy cập liên kết này thông qua WinRAR, lỗ hổng cho phép tệp độc hại được chạy mà không có cảnh báo nào. Điều này mở ra cánh cửa cho các hành vi tấn công như:
-
Cài đặt malware: virus, ransomware hoặc spyware.
-
Đánh cắp dữ liệu nhạy cảm: thông tin cá nhân, mật khẩu hoặc dữ liệu tài chính có thể bị truy xuất.
-
Chiếm quyền điều khiển từ xa
-
Phá hoại hệ thống: mã độc có thể làm hỏng hoặc xóa các tệp hệ thống quan trọng.
Để đảm bảo an toàn cho hệ thống và giảm thiểu rủi ro bị khai thác, doanh nghiệp và người dùng cá nhân nên chủ động kiểm tra và cập nhật WinRAR lên phiên bản 7.11 hoặc mới hơn trong thời gian sớm nhất.
Theo: Security Online
