Una vulnerabilidad en WinRAR, un popular programa de compresión de archivos, permite a los atacantes eludir las alertas de seguridad Mark of the Web (MotW) de Windows y ejecutar código arbitrario en una máquina con Windows.
Esta vulnerabilidad se encuentra registrada como CVE-2025-31334 y afecta a todas las versiones de WinRAR anteriores a la versión 7.11.
El Mark of the Web (MotW) es una característica de seguridad en Windows que agrega una etiqueta de metadatos (stream de datos alternativo llamado ‘zone-identifier’) a los archivos descargados de Internet, marcándolos como potencialmente inseguros.
Cuando el usuario intenta abrir un archivo ejecutable marcado con esta etiqueta, Windows le muestra una advertencia de seguridad informándole que el archivo fue descargado de Internet y podría ser peligroso.
Cómo funciona la vulnerabilidad
La vulnerabilidad en WinRAR se encuentra en el manejo de los symlinks (enlaces simbólicos). Un symlink es un tipo de archivo que actúa como un acceso directo o enlace a otro archivo o carpeta.
El problema es que, cuando un symlink apunta a un archivo ejecutable y se abre desde WinRAR en versiones vulnerables, el archivo ejecutable ignorará la etiqueta de MotW y no mostrará la advertencia de seguridad habitual.
Esto permitiría a un atacante ejecutar código malicioso sin que el sistema de seguridad de Windows detecte la amenaza a través de la alerta MotW.
Es importante señalar que para que un symlink sea creado, se requieren permisos de administrador en el sistema, lo que implica que el atacante ya debe haber obtenido ciertos privilegios en la máquina víctima.
Solución
La vulnerabilidad tiene una severidad media, con una puntuación de 6.8 en la escala CVSS, y ha sido corregida en la versión 7.11 de WinRAR. La actualización soluciona el problema relacionado con los symlinks que apuntan a archivos ejecutables y garantiza que las advertencias de MotW se respeten correctamente al abrir estos archivos desde la interfaz de WinRAR.
Contexto adicional
La vulnerabilidad fue descubierta por Shimamine Taihei de Mitsui Bussan Secure Directions y reportada a través de la Agencia de Promoción de Tecnología de la Información (IPA) de Japón.
Japan’s Computer Security Incident Response Team coordinó la divulgación responsable con los desarrolladores de WinRAR.
Este tipo de vulnerabilidad no es nuevo. Los atacantes, incluidos hackers patrocinados por el estado, han explotado previamente problemas con la funcionalidad MotW para distribuir malware sin activar las advertencias de seguridad.
Recientemente, hackers rusos utilizaron una vulnerabilidad similar en el programa 7-Zip para ejecutar Smokeloader, un cargador de malware, al evitar el MotW mediante una técnica de doble archivo comprimido.
Recomendación ✅
Es crucial que los usuarios de WinRAR actualicen a la versión 7.11 para corregir esta vulnerabilidad. Además, se recomienda mantener actualizado todo el software y estar alerta a las advertencias de seguridad de Windows cuando se abran archivos descargados de Internet.