Winrar’da yeni açıklanan bir güvenlik açığı, saldırganların etkilenen sistemlerde keyfi kod yürütülmesini sağlayan temel bir Windows güvenlik mekanizmasını atlamasına olanak tanır.
CVE-2025-31334 olarak izlenen bu kusur, 7.11’den önce tüm Winrar sürümlerini etkiler ve yüksek etkili saldırılar potansiyelini yansıtan 6.8 CVSS puanı atanmıştır.
Güvenlik Açığı Detayları
Güvenlik açığı, güvenilmez kaynaklardan (örn. İnternet) indirilen dosyaları işaretleyen ve yürütülmelerini kısıtlayan Windows’un Web Mark (MOTW) Güvenlik özelliğini hedefler.
Saldırganlar, Winrar’ın bu güvenlik uyarılarını atlamak için diğer dosyalara veya klasörlere işaret eden sembolik bağlantı kısayollarını ele almasında bir zayıflıktan yararlanabilir.
Bir kullanıcı özel olarak hazırlanmış bir sembolik bağlantı içeren kötü amaçlı bir arşiv çıkardığında, Winrar MOTW bayrağını bağlantılı yürütülebilir dosyaya uygulayamaz. Bu, tehdit aktörlerinin Windows’un standart güvenlik uyarılarını tetiklemeden kötü amaçlı kod yürütmelerini sağlar.
- Ayrıcalık gereksinimleri: Sembolik bağlantılar oluşturmak genellikle varsayılan pencerelerde yönetici ayrıcalıkları gerektirir ve hemen yaygın sömürüyü sınırlar. Bununla birlikte, tehlikeye atılan yönetici hesapları veya rahat izinleri olan sistemler risk altında kalır.
- Saldırı vektörü: Kullanıcılar kötü amaçlı bir arşiv açmalı veya silahlandırılmış dosyayı barındıran tehlikeye atılmış bir web sayfasını ziyaret etmelidir. Başarılı sömürü, saldırganların girişli kullanıcı bağlamında kurbanın sistemi üzerinde kontrolünü kontrol eder.
- Kötü amaçlı yazılım teslimi: Hiçbir aktif istismar doğrulanmamış olsa da, Darkme ve Ajan Tesla gibi kötü amaçlı yazılımlar dağıtmak için benzer güvenlik açıkları (örneğin CVE-2023-38831) silahlandırıldı.
Etkilenen yazılım
7.11’den önceki Winrar sürümlerinde, geliştirici Rarlab’ın en son güncellemede düzeltildiği bir kusur var. Kullanıcılara hemen yükseltmeleri şiddetle tavsiye edilir.
- Winrar’ı güncelle: 7.11 veya daha yeni sürüm yükleyin. Resmi Rarlab web sitesinden.
- Sembolik Bağlantı Yaratılışını Kısıtlayın: Yalnızca güvenilir yöneticilerin kurumsal ortamlarda sembolik bağlantılar oluşturabildiğinden emin olun.
- Kullanıcı uyanıklığı: İyi huylu görünseler bile güvenilmeyen kaynaklardan arşiv açmaktan kaçının.
Mitsui Bussan Güvenli Talimerlerden Taihei Shimamine, JPCERT/CC ve Bilgi Güvenliği Erken Uyarı Ortaklığı ile koordine edilen kusuru keşfetti.
Yama sunumu, özellikle saldırganların küresel olarak 500 milyondan fazla kullanıcıya sahip olan Winrar gibi giderek daha yaygın olarak kullanılan yazılımı hedefledikçe, arşivleme araçlarının işlevselliği ve güvenliği dengelemede karşılaştığı zorlukları vurgulamaktadır.
Bu güvenlik açığı, 7-ZIP (CVE-2025-0411) gibi diğer araçları da etkileyen MOTW bypass kusurlarının risklerinin altını çizmektedir. Bu tür istismarlar, kötü niyetli yüklerin geleneksel algılama mekanizmalarından kaçtığı “fitilsiz” saldırıları mümkün kılar.
Rarlab’ın hızlı yanıtı, 2023’te yamalı kritik CVE-2023-38831 de dahil olmak üzere geçmiş güvenlik açıklarını ele almasını yansıtıyor. Ancak, bu tür sorunların tekrarlanması sürekli yazılım denetimlerine ve proaktif kullanıcı güncellemelerine olan ihtiyacı vurguluyor.
CVE-2025-31334’ün sömürü engelleri derhal riskini azaltırken, kuruluşlar ve bireyler bunu ciddi bir tehdit olarak ele almalıdır.
Siber güvenlik en iyi uygulamalarına derhal yama ve bağlılık, arşiv yazılımını hedefleyen gelişen saldırı vektörlerine karşı en etkili savunmalar olmaya devam etmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free