Обнаруженная в 7-Zip опасная уязвимость может позволить злоумышленникам обойти систему защиты

В популярной программе-архиваторе 7-Zip обнаружена серьезная уязвимость. Благодаря этой уязвимости злоумышленники могут обойти важный механизм безопасности Windows — функцию «Mark-of-the-Web» (MotW).

Данная уязвимость зарегистрирована под идентификатором CVE-2025-0411 и имеет оценку 7.0 по шкале CVSS, что указывает на высокий уровень риска.

CVE-2025-0411 связана с некорректной обработкой файлов, извлеченных из специально созданных архивов, помеченных флагом MotW. Уязвимые версии 7-Zip не сохраняют этот флаг при извлечении, что фактически отключает важные механизмы безопасности, предупреждающие пользователей о потенциально опасных файлах, загруженных из ненадежных источников.

Злоумышленники могут использовать эту уязвимость, создавая вредоносные архивы и распространяя их через фишинговые письма или зараженные веб-сайты. При открытии таких архивов вредоносные файлы выполняются в контексте текущего пользователя, обходя стандартные средства защиты Windows.

Опубликованный Proof-of-Concept (PoC) эксплойт демонстрирует, как можно использовать данную уязвимость. Эксплойт работает с использованием двойного сжатия архива и запускает вредоносный файл, например, calc.exe.

Механизм эксплуатации включает:

• Удаление метаданных MotW во время извлечения файлов.
• Выполнение вредоносных файлов без каких-либо предупреждений, так как функция безопасности Windows SmartScreen не активируется.

Злоумышленники могут размещать вредоносные архивы на серверах вроде MediaFire и распространять их через фишинговые кампании. Для реализации атаки требуется взаимодействие пользователя — открыть архив и запустить вредоносный файл.

Все версии 7-Zip до 24.09 включительно подвержены этой уязвимости. Проблема была устранена в версии 24.09, выпущенной 29 ноября 2024 года.

Для обеспечения безопасности рекомендуется принять следующие меры:

1. Обновите программу. Загрузите и установите версию 24.09 или новее с официального сайта 7-Zip.
2. Будьте осторожны с файлами. Не открывайте архивы, полученные из неизвестных или подозрительных источников.
3. Используйте средства защиты. Настройте решения для защиты конечных точек, способные обнаруживать и блокировать подозрительную активность.

Эта уязвимость представляет серьезную угрозу, так как обходит ключевые механизмы защиты Windows от выполнения ненадежных файлов. Особенно опасно, если атака осуществляется на устройствах с правами администратора, поскольку это позволяет злоумышленникам распространять вредоносное ПО и получать несанкционированный доступ к системе.

Публикация PoC-эксплойта подчеркивает необходимость срочного обновления систем пользователями и организациями.

Несмотря на популярность 7-Zip как одного из самых широко используемых архиваторов в мире, этот случай демонстрирует важность своевременного обновления программного обеспечения и осторожного обращения с неизвестными файлами.

Примите меры уже сегодня: обновите 7-Zip и обеспечьте кибербезопасность.