اكتشف الباحثون الأمنيون ثغرة أمنية خطيرة في برنامج ضغط الملفات الشهير WinRAR، تُعرف بالرمز CVE-2025-31334، تُتيح للمهاجمين تجاوز نظام حماية Windows المعروف باسم Mark of the Web (MotW) وتنفيذ تعليمات برمجية ضارة على أجهزة المستخدمين دون تنبيه.
ما هي وظيفة MotW ولماذا هي مهمة؟
نظام Mark of the Web هو طبقة حماية مدمجة في Windows تُستخدم لوضع علامة على الملفات التي تم تحميلها من الإنترنت. حيث يقوم بإضافة بيانات وصفية (Metadata) إلى الملف تُعرف باسم zone-identifier، لتُشير إلى أن هذا الملف مصدره خارجي وبالتالي قد يكون خطرًا.
عند محاولة فتح ملف تنفيذي يحمل هذه العلامة، يعرض Windows تحذيرًا أمنيًا للمستخدم يُنبهه إلى احتمال وجود تهديد، مع إمكانية إلغاء التشغيل أو المواصلة على مسؤوليته.
تفاصيل الثغرة وكيفية الاستغلال
الثغرة تؤثر على جميع إصدارات WinRAR ما قبل الإصدار 7.11، وتسمح للمهاجمين بتجاوز تحذير MotW عند فتح ملفات رمزية (symlink) تؤدي إلى ملفات تنفيذية.
باستخدام رابط رمزي مصمم بشكل خاص، يمكن لمهاجم يمتلك صلاحيات المسؤول (Admin) إنشاء ملف يُشير إلى تطبيق خبيث وتشغيله مباشرة عبر واجهة WinRAR دون ظهور أي تحذير أمني من Windows.
بحسب ما ورد في سجل التغييرات الرسمي لإصدار WinRAR الجديد:
“عند تشغيل رابط رمزي يشير إلى ملف تنفيذي من خلال واجهة WinRAR، لم يكن يتم أخذ بيانات Mark of the Web في الاعتبار.”
تصنيف الثغرة والاستجابة الأمنية
تم تصنيف الثغرة بدرجة خطورة متوسطة (6.8 من 10)، وتم إصلاحها رسميًا في إصدار WinRAR 7.11. وقد تم التبليغ عنها من قِبل الباحث الأمني Shimamine Taihei من شركة Mitsui Bussan Secure Directions بالتعاون مع وكالة IPA اليابانية، وتم التنسيق مع فريق الاستجابة للحوادث الأمنية في اليابان JPCERT لضمان الكشف المسؤول.
تطور مهم في WinRAR: حماية خصوصيتك من خلال MotW
بدءًا من الإصدار 7.10، أضافت WinRAR ميزة جديدة تتيح إزالة معلومات MotW الحساسة مثل الموقع الجغرافي أو عنوان IP، لتوفير خصوصية أكبر للمستخدمين دون التأثير على الحماية.
استخدامات سابقة لمثل هذه الثغرات
تُعد هذه ليست المرة الأولى التي يتم فيها استغلال ثغرات مشابهة. حيث قام قراصنة مدعومون من دول، مثل الهاكرز الروس، باستخدام ثغرات تجاوز MotW في برامج أرشفة أخرى مثل 7-Zip لتثبيت برمجيات خبيثة مثل Smokeloader دون اكتشافها.
