7-Zip устраняет уязвимость MotW в Windows

Уязвимость в 7-Zip позволяет обходить защиту Windows Mark of the Web​

Уязвимость в файловом архиваторе 7-Zip позволяет злоумышленникам обходить функцию безопасности Windows Mark of the Web (MotW) и выполнять код на компьютерах пользователей при извлечении вредоносных файлов из вложенных архивов.

Поддержка MotW в 7-Zip​

Функция поддержки MotW была добавлена в 7-Zip в июне 2022 года, начиная с версии 22.00. С тех пор архиватор автоматически добавляет метки MotW (альтернативные потоки данных Zone.Id) ко всем файлам, извлеченным из загруженных архивов.

Метка MotW выполняет следующие функции:

• Информирует операционную систему, браузеры и приложения о ненадежности источника файла.
• При открытии помеченных файлов отображает предупреждения о потенциальных рисках, таких как установка вредоносного ПО.
• В Microsoft Office помеченные документы открываются в режиме защищенного просмотра (только для чтения, с отключением макросов).

Уязвимость CVE-2025-0411​

Как сообщила компания Trend Micro в своем отчете, опубликованном в выходные, уязвимость CVE-2025-0411 позволяет злоумышленникам обходить защиту MotW и выполнять вредоносный код на устройствах пользователей.

Причина уязвимости:
При извлечении файлов из вложенных архивов с меткой MotW, 7-Zip не переносит эту метку на извлеченные файлы.

«Эта уязвимость позволяет удаленным злоумышленникам обойти механизм Mark-of-the-Web на затронутых версиях 7-Zip. Для её эксплуатации требуется взаимодействие с пользователем, например, посещение вредоносного сайта или открытие вредоносного файла», — пояснили в Trend Micro.

Таким образом, злоумышленники могут использовать эту уязвимость для выполнения произвольного кода в контексте текущего пользователя.

Исправление уязвимости​

Разработчик 7-Zip, Игорь Павлов, уже устранил проблему в версии 7-Zip 24.09, выпущенной 30 ноября 2024 года.

«Менеджер файлов 7-Zip не распространял поток Zone.Identifier для файлов, извлеченных из вложенных архивов (если архив был вложен в другой открытый архив)», — прокомментировал Павлов.

Риски и рекомендации пользователям​

Несмотря на исправление, 7-Zip не имеет функции автоматического обновления. Это означает, что многие пользователи могут продолжать использовать уязвимые версии, подвергая свои устройства риску атак.
Рекомендуется:

1. Обновить 7-Zip до последней версии (24.09 или новее).
2. Проверять происхождение файлов перед их открытием, особенно архивов.

Примеры атак с использованием уязвимостей MotW​

• DarkGate и CVE-2024-38213
  В июне 2024 года Microsoft устранила уязвимость CVE-2024-38213, активно эксплуатировавшуюся операторами DarkGate для обхода защиты SmartScreen. С её помощью злоумышленники распространяли вредоносные программы, маскируя их под установщики Apple iTunes, NVIDIA, Notion и других популярных приложений.
• Water Hydra и CVE-2024-21412
  Хакерская группа Water Hydra (DarkCasino) использовала уязвимость CVE-2024-21412 для атак на пользователей Telegram и форумы по торговле акциями. Их цель — установка трояна удаленного доступа DarkMe (RAT).

www.bleepingcomputer.com