Podatność w 7-Zipie umożliwia zdalnym atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu

Informacje o CVE-2025-0411

Odkrycie luki i jej zgłoszenie przypisywane są badaczowi Peterowi Girnusowi (informacja z Trend Micro Zero Day Initiative). Oto, co wiemy o nowej podatności:

• Posiada wysoki stopnień zagrożenia i występuje w archiwizatorze plików 7-Zip.
• Umożliwia atakującym ominięcie funkcji zabezpieczeń systemu Windows, znanej jako Mark of the Web (MotW), oraz wykonanie złośliwego kodu na komputerach użytkowników podczas wyodrębniania plików z zagnieżdżonych archiwów.
• Do jej wykorzystania wymagana jest interakcja użytkownika, polegająca na otwarciu złośliwego pliku lub odwiedzeniu strony internetowej zawierającej zainfekowany plik.
• Stanowi poważne ryzyko dla użytkowników, ponieważ podważa kluczową funkcję zabezpieczeń systemu Windows, która ma zapobiegać uruchamianiu niezaufanych plików bez odpowiedniej kontroli. Atakujący mogą wykorzystać lukę w celu dystrybucji złośliwego oprogramowania lub uzyskania nieautoryzowanego dostępu do systemów, szczególnie w środowiskach, w których użytkownicy mają uprawnienia administracyjne.

Funkcja Mark of the Web (MotW) została zaimplementowana w 7-Zip od wersji 22.00, wydanej w czerwcu 2022 roku. Od tego momentu 7-Zip automatycznie dodaje flagi MotW (przechowywane w postaci alternatywnych strumieni danych „Zone.Id”) do plików wyodrębnianych z pobranych archiwów. Flagi te sygnalizują systemowi operacyjnemu oraz aplikacjom (w tym przeglądarkom internetowym), że dany plik pochodzi z niezaufanego źródła, przez co może wiązać się z ryzykiem i powinien być traktowany ostrożnie.

Niestety złośliwe pliki umieszczone w zagnieżdżonych archiwach mogą obejść tę ochronę. Problem występuje, gdy złośliwy plik, umieszczony głęboko w strukturze archiwum, nie dziedziczy flagi MotW w sposób prawidłowy. Atakujący może stworzyć taki zestaw zagnieżdżonych archiwów, w którym pliki wyodrębnione na dalszych poziomach nie będą oznaczone jako pochodzące z niezaufanych źródeł, co pozwala na ich uruchomienie bez wywołania odpowiednich ostrzeżeń ze strony systemu.

W rezultacie po wyodrębnieniu takiego pliku użytkownik może przypadkowo uruchomić złośliwy kod, doprowadzając do potencjalnego zainfekowania systemu, kradzieży danych lub innych ataków. Luka stanowi poważne zagrożenie, zwłaszcza w przypadku użytkowników, którzy nie są świadomi ryzyka związanego z otwieraniem plików z niezaufanych źródeł.

Przypominamy, że niedawno odkryto inną podatność umożliwiającą wykonanie kodu w 7-Zipie, śledzoną jako CVE-2024-11477. Dotyczyła ona wersji 24.07 i umożliwiała atakującym wykonanie dowolnego kodu w kontekście bieżącego procesu, jeśli użytkownik wszedł w interakcję ze złośliwymi archiwami.

Zagrożone wersje 7-Zip

Luka dotyczy wszystkich wersji 7-Zip do 24.07. Użytkownikom zdecydowanie zaleca się aktualizację do wersji 24.09, która rozwiązuje problem i zapewnia, że lagi MOTW są prawidłowo propagowane do wyodrębnionych plików.

Luka została zgłoszona dostawcy 1 października. Skoordynowane publiczne ujawnienie i wydanie poprawionej wersji nastąpiło19 stycznia.

Podsumowanie

Chociaż 7-Zip jest od dawna uważany za zaufane narzędzie do kompresji i ekstrakcji plików, ten incydent pokazuje, że nawet powszechnie używane oprogramowanie może zawierać luki w zabezpieczeniach. Użytkownicy powinni niezwłocznie podjąć kroki w celu złagodzenia ryzyka związanego z podatnością, aby zapewnić bezpieczeństwo swoich systemów.