Detectada i corregida una vulnerabilitat a WinRAR que permetia executar arxius maliciosos sense alertes de seguretat

Recentment s'ha anunciat una vulnerabilitat a WinRAR, una de les eines de compressió d'arxius més antigues i populars a tot el món, que permetia als atacants evadir un dels mecanismes de seguretat més importants del sistema operatiu Windows: la denominada Marca del Web (Mark of the Web o MotW). Aquesta fallada de seguretat exposava els usuaris a perills potencials en executar arxius maliciosos sense que el sistema generés cap advertiment.

Segons experts en ciberseguretat, aquesta vulnerabilitat afecta totes les versions del programa anteriors a la 7.11 i ha estat oficialment registrada sota el codi CVE-2025-31334. El descobriment ho va fer Shimamine Taihei, investigador de la firma japonesa de ciberseguretat Mitsui Bussan Secure Directions, que va alertar sobre aquest problema a través de l'Agència de Promoció de Tecnologia de la Informació (IPA) del Japó.

La fallada en detall: com se salta la protecció de Windows

La vulnerabilitat resideix en el tractament que fa WinRAR dels enllaços simbòlics, coneguts com a symlinks, que són fitxers que actuen com a dreceres a altres fitxers o directoris. Quan un fitxer comprimit conté un d'aquests symlinks apuntant a un executable, i és obert des d'una versió vulnerable de WinRAR, el sistema ignora la Marca de la Web associada al fitxer.

La Marca de la Web és un sistema de seguretat propi de Windows que afegeix una etiqueta especial als fitxers descarregats des d'Internet, advertint a l'usuari que el contingut pot ser perillós. Normalment, en obrir un fitxer amb aquesta marca, Windows avisa de la seva procedència i sol·licita confirmació abans de permetre'n l'execució.

Amb aquesta fallada, els atacants poden executar codi maliciós sense aixecar sospites, el que fa que els usuaris estiguin més exposats a infeccions, robatori dinformació o fins i tot a la instal·lació silenciosa de programes perillosos als seus ordinadors. Tot passa sense que el sistema operatiu mostri cap finestra d'advertència.

És important destacar que perquè els symlinks siguin efectius, s'han de crear amb privilegis d'administrador al sistema operatiu, per la qual cosa l'atacant ja hauria aconseguit cert nivell d'accés o engany cap a la víctima.

Impacte de la vulnerabilitat i la gravetat

La vulnerabilitat ha estat catalogada amb una puntuació de 6,8 sobre 10 a l'escala CVSS (Common Vulnerability Scoring System), cosa que la situa en un nivell de gravetat mitjana. Tot i això, els especialistes coincideixen que el seu potencial per ser utilitzada en campanyes de codi maliciós la fa especialment perillosa si no es prenen mesures a temps.

Aquest tipus de mecanismes ja han estat aprofitats anteriorment per grups de ciberdelinqüents, com va passar amb un cas recent en què es va utilitzar una vulnerabilitat similar al programa 7-Zip per distribuir Smokeloader, un conegut carregador de programes maliciosos. En aquesta ocasió, els atacants utilitzaven tècniques de doble compressió per eludir les advertències de MotW i executar el codi sense notificació a l'usuari.

La situació actual de WinRAR no és gaire diferent, ja que també es tracta d'una eina àmpliament estesa i utilitzada tant en àmbits domèstics com en entorns corporatius. Això incrementa el risc que la falla sigui àmpliament explotada abans que els usuaris actualitzin els seus sistemes.

Com protegir-se: actualització imprescindible

La solució a aquest problema ja ha estat publicada pels desenvolupadors de WinRAR a través de la versió 7.11 del programa. Aquesta actualització corregeix el comportament dels symlinks per garantir que els fitxers executables marcats per MotW segueixin mostrant l'advertiment corresponent en obrir-se.

Actualitzar a la versió 7.11 és l'única manera de protegir el sistema davant d'aquesta vulnerabilitat específica. Els experts recomanen realitzar l'actualització com més aviat millor i, preferiblement, des de la pàgina web oficial de WinRAR, evitant així versions modificades o distribuïdes per tercers que podrien contenir programari maliciós.

A més, és recomanable verificar regularment quina versió del programari està instal·lada, sobretot en entorns on es maneja informació sensible o es rep gran quantitat darxius per Internet. Mantenir les aplicacions al dia és una de les pràctiques més eficaces per prevenir problemes de seguretat.

Des dels desenvolupadors de WinRAR s'ha informat que aquesta correcció figura a les notes de la versió 7.11, juntament amb altres petits ajustaments i millores, per la qual cosa no hi ha motius per no procedir amb la instal·lació com més aviat millor.

Lliçons i context de seguretat més ampli

Aquest incident posa novament de manifest la importància de la ciberseguretat en eines d'ús diari. Programes aparentment inofensius, com un compressor d'arxius, poden amagar perills si una vulnerabilitat és descoberta i explotada abans que els pegats estiguin disponibles o siguin aplicats.

El cas de WinRAR no és aïllat, com ho demostra el que ha passat amb altres utilitats similars. La reiteració de mètodes basats a eludir la Marca de la Web (MotW) indica que els atacants coneixen bé les seves debilitats i busquen noves maneres d'aprofitar-les. Si vols aprendre més sobre com encriptar un fitxer, pots consultar aquest article específic.

Més enllà de l'error en si, el que és preocupant és la facilitat amb què els usuaris poden caure víctimes simplement per obrir un fitxer comprimit aparentment inofensiu. Això ressalta no només la funció tècnica del pegat sinó també la importància de la conscienciació entre els usuaris finals.

Les empreses i usuaris individuals han d'adoptar un enfocament preventiu, fent actualitzacions freqüents i evitant descarregar programari o fitxers des de fonts poc fiables. L'ús d'eines d'anàlisi de comportament i d'antivirus actualitzats també pot ajudar a mitigar el risc.