CVE-2025-8088 技術的分析：WinRARにおけるADSを介した任意のファイル書き込み

WinRARは、Windowsで最も広く利用されているアーカイブユーティリティの一つです。このソフトウェアは、ADS（代替データストリーム）などのNTFS固有のメタデータの保持および復元に対応しています。CVE-2025-8088は、特定のWinRARバージョンのADS処理ロジックに存在する脆弱性です。この脆弱性があるバージョンでは、悪意のあるアーカイブが抽出時に使用されるストリーム識別子に影響を与える可能性があり、ADS作成ワークフローにおけるパスの正規化および検証が不十分であるため、ディレクトリトラバーサル攻撃が可能となります。

CVE-2025-8088は、深刻度が高い問題と評価されており、CVSS v4.0のベーススコアは8.4（High）です。これは、ユーザーが脆弱性のあるバージョンのWinRARを使用して、特別に細工されたアーカイブを解凍した場合、測定可能なセキュリティ上の影響が生じる可能性があることを反映しています。

NTFS（New Technology File System）は、最新のWindowsバージョンにおけるデフォルトのファイルシステムです。FATベースのファイルシステムと比較して、NTFSはACL（アクセス制御リスト）、EFS暗号化、圧縮、ハードリンク、リパースポイント（ジャンクションおよびシンボリックリンク）、ADSなどの高度な機能をサポートしています。 

ADSは、単一のファイルまたはディレクトリに複数の独立したデータストリームを含めることができるNTFSの機能です。ユーザーが直接参照できる主要なコンテンツは、通常::$DATAとして表される名前のないデフォルトのストリームに格納されますが、追加の命名済みストリームには次の構文を使用してアクセスできます： 

filename.ext:streamname 

これらの名前付きストリームは、通常、標準のWindowsエクスプローラーのビューでは表示されませんが、ファイルシステムによって完全にサポートされており、対応するツールを使用すれば一覧表示することができます。たとえば、`dir/R` コマンドを使用すると、代替ストリームを表示できます。 

WinRARは、ADS構文を含むアーカイブエントリの解凍に対応しています。アーカイブ内にそのようなエントリが存在する場合、WinRARは解凍時に、対応するコンテンツをターゲットファイルの代替ストリームに書き込みます。 

RAR5アーカイブは、一連のブロックとして保存されます。各ブロックは、ブロックの種類やサイズ情報を定義するヘッダーで始まります。また、オプションで、追加のメタデータ領域や、圧縮されたコンテンツなどのペイロードバイトで構成されるデータ領域を含めることもできます。

ブロック = ヘッダー + （任意の追加領域） + （任意のデータ領域）

RAR5では、いくつかのブロックタイプが使用されています。CVEで関連するブロックタイプは以下の通りです：

• ファイルヘッダー（タイプ2）：アーカイブ内のファイルエントリ（名前／パス、属性、タイムスタンプ、圧縮パラメータ）を記述し、その後にファイルのペイロードデータが続く

• サービスヘッダー（タイプ3）：アーカイブまたは特定のファイルエントリに関連する追加のメタデータ（ADSなど）を格納する、オプションの補助ヘッダー

NTFSファイルシステムにおけるADSは、STMと呼ばれるサービスヘッダー（タイプ3）によって表されます。サービスヘッダーのデータ領域には、ベースファイルエントリのADSストリームバイトが含まれています。

簡単に言えば：

WinRARは、RAR5アーカイブを一連のブロックとして処理します。抽出時には、これらのブロックを順次処理し、各ブロックヘッダーを解析し、埋め込まれたCRC32を使用してヘッダーの整合性を検証してから、次の処理に進みます。ファイルエントリの処理が完了すると、WinRARはベースファイルの内容を解凍してディスクに書き出し、その後、関連するサービスレコードを通じて追加のNTFS関連メタデータを適用する必要があるかどうかを判断します。 STMサービスエントリなどのADS（代替データストリーム）レコードが存在する場合、WinRARはADS処理パスに入り、ベースファイルのパスとストリーム名を組み合わせてADSターゲットを形成し、ストリームを作成します。 

当社の大学院生フェローは、WinRAR 7.12 を使用し、管理された実験室環境下で静的解析と動的解析を組み合わせて実施しました。彼らはバイナリ内の「STM」サービスマーカーを検索することで ADS に関連するロジックを特定し、実行時に抽出側のコードパスを確認しました。

WinRARは、各RAR5ブロックを処理する際、ブロックヘッダーを読み取り、整合性フィールドを検証し、ブロックタイプ固有のハンドラに処理を委譲します。ブロック処理のエントリポイントと関連するヘッダー解析ロジックを図6-10に示します。ここでは、WinRARがファイルポインタを現在のブロックオフセットに設定し、ヘッダータイプやサイズを含む初期ヘッダーバイトを読み取り、CRC32を使用してヘッダーの整合性を検証してから処理を続行します。

検証が成功すると、フラグ、展開後のサイズ、圧縮方式、およびオプションのチェックサムなどの追加のヘッダーフィールドを解析します。その後、ブロック本文を処理します。

WinRARがServiceブロックを検出すると、ADS処理パスが実行されます。Serviceブロックはブロックタイプ値3を使用します。Serviceブロックが検出されると、WinRARはそれをサービスヘッダーハンドラに送信します。

CVE-2025-8088は、攻撃者がユーザーを誘導し、脆弱性のあるバージョンのWinRARを使用して細工されたRARアーカイブを解凍させるようなシナリオにおいて、実際に悪用される可能性があります。典型的な攻撃経路としては、フィッシングなどのソーシャルエンジニアリングが挙げられ、これにより被害者は悪意のあるアーカイブを信頼し、重要なシステム上で解凍を実行してしまうことになります。

このアーカイブには、ADS（「STM」）サービスレコードが埋め込まれています。そのストリーム名は、トラバーサルセマンティクスを導入するように構成されています。NTFS上での抽出時、WinRARはADSレコードを処理し、アーカイブが管理するメタデータから抽出先のストリームパスを導出します。このADSパスの構築には十分な制約が設けられていないため、解決されたターゲットがユーザーが選択した抽出ディレクトリの外側、例えばユーザーのスタートアップフォルダなどの重要な場所に配置されてしまう可能性があります。

CVE-2025-8088を実証するため、当研究室の大学院生は、攻撃者が制御可能なフィールドを含むADS（「STM」）サービスレコードを仕込んだRARアーカイブファイルを作成しました。このアーカイブは、トラバーサルシーケンスを含むADSストリーム名で構成されています。 この構造は、ADSの処理中に最終的なターゲットの場所に影響を与え、ストリーム作成時にCreateFileW()に渡されるパスにも影響を及ぼします。WinRARが変更されたメタデータを受け入れ、ADS処理パスに到達するようにするため、関連するヘッダーのCRC32値を再計算し、アーカイブがヘッダーの整合性検証を通過するようにしています。