Jak błąd w 7-Zip (CVE-2025-11001) daje hakerom dostęp do systemu Windows. Jest exploit

Odkryto niezwykle niebezpieczną dla użytkowników systemów Windows podatność. Błąd o numerze CVE‑2025‑11001 jest już częściowo wykorzystywany, a dotyczy popularnego programu 7-Zip. Polega na niewłaściwej obsłudze linków symbolicznych (symlinków) w plikach ZIP, pozwalając atakującemu wyjść poza katalog docelowy archiwum i zapisać pliki w nieprzewidzianych lokalizacjach, a w niektórych scenariuszach choćby uruchomić własny kod.

Szczegóły podatności

1. Luka dotyczy programu 7-Zip (wersji wcześniejszych niż 25.00) w systemach Windows.
2. Mechanizm ataku opiera się na pliku ZIP, w którym zawarty jest link symboliczny (symlink) prowadzący poza katalog docelowy. Dzięki temu przy rozpakowywaniu 7-Zip może zapisać plik w niezamierzonym katalogu lub choćby w lokalizacji pozwalającej na wykonanie kodu.
3. Skala zagrożenia została oceniona jako CVSS v3 score 7.0.
4. Exploit w repozytorium użytkownika pacbypass („exploit.py”) wskazuje, iż warunkiem skutecznego ataku jest uruchomienie 7-Zip z uprawnieniami administratora lub przez konto usługi (przykładowo service account) – ze względu na to, iż tworzenie symlinków w Windows często wymaga wyższych uprawnień do systemu.
5. Luka została wprowadzona w wersji 21.02 programu 7-Zip i obecna była do momentu wydania wersji 25.00, która ją załatała.
6. Istnieje także powiązana luka – CVE‑2025‑11002 – również związana z nieprawidłowym obsługiwaniem symlinków w archiwach ZIP w 7-Zip.

Status zagrożenia i obserwacje w praktyce

Zgodnie z komunikatem NHS England Digital (alert CC-4719), dostępny jest publiczny proof-of-concept (PoC) exploit dla CVE-2025-11001 – co oznacza, iż technicznie każdy atakujący może spróbować wykorzystać tę lukę. W opublikowanym w późniejszym terminie alercie NHS doprecyzowano, iż nie stwierdzono jeszcze potwierdzonych przypadków – usunięto wcześniejsze odniesienia do „aktywnego wykorzystywania”. Mimo braku potwierdzenia masowych ataków fakt dostępności exploitów oraz popularności dziurawego narzędzia archiwizacji czyni sprawę pilną.

Kogo to dotyczy i jakie są warunki uruchomienia exploita

• Użytkownicy systemów Windows korzystający z wersji od 21.02 do <25.00 programu 7-Zip.
• Instalacje, gdzie program 7-Zip uruchamiany jest z podwyższonymi uprawnieniami (np. jako proces usługi lub użytkownik z uprawnieniami administratora).
• Jeżeli ktoś rozpakowuje archiwa ZIP pochodzące z niezaufanych źródeł – szczególnie w środowiskach wsparcia serwisowego, gdzie skrypt lub usługa uruchamia 7-Zip.
• Destabilizacja może mieć miejsce w środowiskach korporacyjnych, serwerowych, gdzie archiwa są masowo rozpakowywane lub procesy automatyczne mogą nadawać 7-Zip uprawnienia lokalnego systemu.

Rekomendacje bezpieczeństwa

1. Natychmiast zaktualizuj program 7-Zip do wersji 25.00 lub nowszej — to jedyna pewna metoda eliminacji luki.
2. W przypadku, gdy aktualizacja nie jest możliwa od razu:
   • ogranicz używanie 7-Zip do kont o ograniczonych uprawnieniach, nie uruchamiaj jako administrator lub usługa,
   • nie rozpakowuj archiwów ZIP pochodzących z niezaufanych lub niezweryfikowanych źródeł,
   • monitoruj aktywność systemu, zwracaj uwagę na nietypowe operacje zapisu plików poza zwykłym katalogiem rozpakowywania.
3. W środowiskach serwerowych/korporacyjnych: wprowadź reguły lub polityki – np. tylko autoryzowany katalog rozpakowywania, ograniczenie uprawnień symlinków, ewentualnie zastąpienie 7-Zip narzędziem, które nie ma tej podatności.
4. Utrzymuj świadomość pracowników odpowiedzialnych za IT i bezpieczeństwo – błąd ten nie dotyczy tylko „domowych użytkowników”, ale może być wykorzystany jako element łańcucha ataku (np. początek dostępu w organizacji).
5. Zastosuj zasadę najmniejszych uprawnień (least privilege) – procesy automatyczne powinny działać z kontami o minimalnych potrzebnych uprawnieniach, aby ograniczyć skuteczność ewentualnego ataku.