Une vulnérabilité dans la solution d’archivage de fichiers WinRAR pourrait être exploitée pour contourner l’avertissement de sécurité Mark of the Web (MotW) et exécuter du code arbitraire sur une machine Windows.
Le problème de sécurité est suivi sous la référence CVE-2025-31334 et affecte toutes les versions de WinRAR à l’exception de la version la plus récente, qui est actuellement la 7.11.
La marque du Web est une fonction de sécurité dans Windows sous la forme d’une valeur de métadonnées (un flux de données alternatif nommé « identifiant de zone ») pour marquer comme potentiellement dangereux les fichiers téléchargés sur Internet.
Lors de l’ouverture d’un exécutable avec la balise MotW, Windows avertit l’utilisateur qu’il a été téléchargé depuis Internet et qu’il pourrait être dangereux et offre la possibilité de poursuivre l’exécution ou de le terminer.
Lien symbolique vers l’exécutable
La vulnérabilité CVE-2025-31334 peut aider un acteur menaçant à contourner l’avertissement de sécurité MotW lors de l’ouverture d’un lien symbolique (lien symbolique) pointant vers un fichier exécutable dans n’importe quelle version de WinRAR antérieure à 7.11.
Un attaquant pourrait exécuter du code arbitraire en utilisant un lien symbolique spécialement conçu. Il est à noter qu’un lien symbolique ne peut être créé sous Windows qu’avec des autorisations d’administrateur.
Le problème de sécurité a reçu un score de gravité moyenne de 6,8 et a été corrigé dans la dernière version de WinRAR, comme indiqué dans le journal des modifications des applications:
“Si un lien symbolique pointant vers un exécutable était démarré à partir du shell WinRAR, la marque exécutable des données Web était ignorée » – WinRAR
La vulnérabilité a été signalée par Shimamine Taihei de Mitsui Bussan Secure Directions par l’intermédiaire de l’Agence de promotion des technologies de l’information (API) au Japon.
L’équipe japonaise de réponse aux incidents de sécurité informatique a coordonné la divulgation responsable avec le développeur de WinRAR.
À partir de la version 7.10, WinRAR offre la possibilité de supprimer du flux de données alternatif MotW des informations (par exemple, l’emplacement, l’adresse IP) qui pourraient être considérées comme un risque pour la confidentialité.
Les acteurs de la menace, y compris ceux parrainés par l’État, ont exploité les contournements MotW dans le passé pour diffuser divers logiciels malveillants sans déclencher l’avertissement de sécurité.
Récemment, des pirates russes ont exploité une telle vulnérabilité dans l’archiveur 7-Zip, qui n’a pas propagé le MotW lors du double archivage (archivage d’un fichier dans un autre) pour exécuter le compte-gouttes de malware Smokeloader.