好友
阅读权限40
听众
最后登录1970-1-1
|
来自 #
楼主|
映梓
发表于 2025-4-28 21:03
|楼主
本帖最后由 映梓 于 2025-4-29 14:35 编辑
【漏洞预警】WinRAR存在CVE-2025-31334高危漏洞
一、漏洞背景:
绕过Windows核心防御的隐形杀手WinRAR是一款文件压缩器。该产品支持RAR、ZIP等格式文件的压缩和解压等。“网络标记”(MotW)是 Windows 中的一项安全机制,用于标记从互联网下载的文件为潜在的不安全文件。当一个文件带有 MotW 标记时,操作系统或相关应用程序(如浏览器或邮件客户端)会在执行或打开文件前提示用户,以防止恶意文件在未经用户知情的情况下自动运行代码。受影响版本的 winrar 在打开指向恶意程序的符号链接文件时可绕过 MotW 标记限制,攻击者可构造恶意的压缩包,在其中嵌入指向恶意程序的符号链接文件来诱骗受害者点击。
MotW机制的作用:Windows通过此功能标记从互联网下载的文件,并在用户打开时弹出安全警告(例如“此文件可能危害计算机”)。然而,CVE-2025-31334通过符号链接(Symbolic Link)的构造漏洞,使恶意文件绕过这一防护,直接运行恶意代码。
二、漏洞技术原理:
符号链接的“欺骗术”攻击流程拆解
1. 构造恶意压缩包:攻击者在.rar文件中嵌入特制的符号链接,指向隐藏的可执行文件(如.exe或脚本)。
2.诱导用户解压:通过钓鱼邮件、社交软件等途径发送压缩包,伪装成“简历”“税务通知”等正常文件。
3.绕过安全警告:用户解压后点击符号链接时,WinRAR未正确应用MotW标记,导致Windows不弹出安全提示。
4.静默执行恶意代码:攻击者可借此植入勒索软件、间谍程序或远程控制工具。
利用条件与限制权限要求:
默认情况下,创建符号链接需管理员权限,但已遭入侵的账户或权限宽松的系统仍面临风险。
用户交互依赖:需用户主动解压并点击链接,但结合社会工程学手段(如伪装成同事文件),攻击成功率显著提升。
三、真实攻击场景模拟:
你的“无害压缩包”可能是定时炸弹
案例1:钓鱼邮件攻击
攻击者冒充HR部门发送“2025年薪酬调整方案.rar”,压缩包内含指向恶意软件的符号链接。财务人员解压后点击链接,触发勒索软件加密全盘文件。
案例2:网站挂马攻击
下载论坛中的“热门电影资源压缩包”,解压后看似包含视频文件,实则通过符号链接静默安装窃密木马,盗取用户账号密码。
历史教训:2023年的CVE-2023-38831漏洞曾被用于传播DarkMe和Agent Tesla恶意软件,此次漏洞可能成为新一轮攻击的跳板。
四、修复与防御:
1. 立即行动,切断攻击链:卸载旧版本,下载安装最新版本:紧急升级至WinRAR 7.11版本RARLAB已发布修复版本7.11,彻底堵住符号链接处理漏洞。
2. 企业级防护策略,限制符号链接权限:通过组策略禁止非管理员用户创建符号链接,降低内部风险终端防护强化:部署EDR(端点检测与响应)工具,监控异常进程及文件行为。
3. 用户安全意识提升,警惕不明来源文件:即使文件看似来自“熟人”,也需验证后再打开。
4.显示隐藏文件:在Windows设置中取消“隐藏受保护的操作系统文件”,便于识别异常符号链接。 |
|