7-Zip 中存在一个高严重性漏洞,攻击者可以利用该漏洞绕过 Windows 安全功能 Mark of the Web (MotW),并在从嵌套归档文件中提取恶意文件时在用户的计算机上执行代码。
7-Zip 于 2022 年 6 月从 22.00 版开始添加了对 MotW 的支持。从那时起,它会自动将 MotW 标志(特殊的“Zone.Id”备用数据流)添加到从下载的档案中提取的所有文件中。
此标志通知操作系统、网络浏览器和其他应用程序,文件可能来自不受信任的来源,应谨慎处理。
因此,当双击使用 7-Zip 提取的危险文件时,用户会收到警告,打开或运行此类文件可能会导致潜在的危险行为,包括在其设备上安装恶意软件。
Microsoft Office 还将检查 MotW 标志,如果找到,它将在受保护的视图中打开文档,这会自动启用只读模式并禁用所有宏。
使用 MoTW 标志启动下载的可执行文件(BleepingComputer)
然而,如趋势科技在周末发布的一份公告中所解释的那样,一个被追踪为CVE-2025-0411的安全漏洞可以让攻击者绕过这些安全警告并在目标电脑上执行恶意代码。
Trend Micro 表示:“此漏洞允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。”
“特定缺陷存在于存档文件的处理中。从带有网络标记的精心设计的存档中提取文件时,7-Zip 不会将网络标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。”
7-Zip 已于2024 年 11 月 30 日发布 7-Zip 24.09修补了此漏洞 。
“7-Zip 文件管理器没有传播从嵌套档案中提取的文件的 Zone.Identifier 流(如果另一个打开的档案内有一个打开的档案)。”Pavlov 说。
利用类似漏洞可部署恶意软件
由于 7-Zip 没有自动更新功能,许多用户可能仍在运行易受攻击的版本,攻击者可以利用7ZIP的旧版本感染恶意软件。
所有 7-Zip 用户应尽快修补其安装,因为此类漏洞经常被恶意软件攻击所利用。
例如,6 月份,微软解决了 Mark of the Web 安全绕过漏洞 (CVE-2024-38213), DarkGate 恶意软件运营商自 2024 年 3 月以来一直在利用该漏洞作为0day武器来绕过 SmartScreen 保护并安装伪装成 Apple iTunes、NVIDIA、Notion 和其他合法软件安装程序的恶意软件。
以经济利益为目的的 Water Hydra(又名 DarkCasino)黑客组织还利用另一个 MotW 绕过(CVE-2024-21412),使用DarkMe 远程访问木马 (RAT)针对股票交易 Telegram 频道和外汇交易论坛发起攻击。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/UC2bhaDJEdyNE0MsWN5EjQ
封面来源于网络,如有侵权请联系删除
