Odkryto groźną lukę w oprogramowaniu 7-Zip, pozwalającą zdalnym atakującym na obejście mechanizmu ochrony Windows i w rezultacie wykonanie dowolnego kodu na komputerze.
Informacje o CVE-2025-0411
Odkrycie luki i jej zgłoszenie przypisywane są badaczowi Peterowi Girnusowi (informacja z Trend Micro Zero Day Initiative). Oto, co wiemy o nowej podatności:
- Posiada wysoki stopnień zagrożenia i występuje w archiwizatorze plików 7-Zip.
- Umożliwia atakującym ominięcie funkcji zabezpieczeń systemu Windows, znanej jako Mark of the Web (MotW), oraz wykonanie złośliwego kodu na komputerach użytkowników podczas wyodrębniania plików z zagnieżdżonych archiwów.
- Do jej wykorzystania wymagana jest interakcja użytkownika, polegająca na otwarciu złośliwego pliku lub odwiedzeniu strony internetowej zawierającej zainfekowany plik.
- Stanowi poważne ryzyko dla użytkowników, ponieważ podważa kluczową funkcję zabezpieczeń systemu Windows, która ma zapobiegać uruchamianiu niezaufanych plików bez odpowiedniej kontroli. Atakujący mogą wykorzystać lukę w celu dystrybucji złośliwego systemu lub uzyskania nieautoryzowanego dostępu do systemów, szczególnie w środowiskach, w których użytkownicy mają uprawnienia administracyjne.
Funkcja Mark of the Web (MotW) została zaimplementowana w 7-Zip od wersji 22.00, wydanej w czerwcu 2022 roku. Od tego momentu 7-Zip automatycznie dodaje flagi MotW (przechowywane w postaci alternatywnych strumieni danych „Zone.Id”) do plików wyodrębnianych z pobranych archiwów. Flagi te sygnalizują systemowi operacyjnemu oraz aplikacjom (w tym przeglądarkom internetowym), iż dany plik pochodzi z niezaufanego źródła, przez co może wiązać się z ryzykiem i powinien być traktowany ostrożnie.
Niestety złośliwe pliki umieszczone w zagnieżdżonych archiwach mogą obejść tę ochronę. Problem występuje, gdy złośliwy plik, umieszczony głęboko w strukturze archiwum, nie dziedziczy flagi MotW w sposób prawidłowy. Atakujący może stworzyć taki zestaw zagnieżdżonych archiwów, w którym pliki wyodrębnione na dalszych poziomach nie będą oznaczone jako pochodzące z niezaufanych źródeł, co pozwala na ich uruchomienie bez wywołania odpowiednich ostrzeżeń ze strony systemu.
W rezultacie po wyodrębnieniu takiego pliku użytkownik może przypadkowo uruchomić złośliwy kod, doprowadzając do potencjalnego zainfekowania systemu, kradzieży danych lub innych ataków. Luka stanowi poważne zagrożenie, zwłaszcza w przypadku użytkowników, którzy nie są świadomi ryzyka związanego z otwieraniem plików z niezaufanych źródeł.
Przypominamy, iż niedawno odkryto inną podatność umożliwiającą wykonanie kodu w 7-Zipie, śledzoną jako CVE-2024-11477. Dotyczyła ona wersji 24.07 i umożliwiała atakującym wykonanie dowolnego kodu w kontekście bieżącego procesu, jeżeli użytkownik wszedł w interakcję ze złośliwymi archiwami.
Zagrożone wersje 7-Zip
Luka dotyczy wszystkich wersji 7-Zip do 24.07. Użytkownikom zdecydowanie zaleca się aktualizację do wersji 24.09, która rozwiązuje problem i zapewnia, iż lagi MOTW są prawidłowo propagowane do wyodrębnionych plików.
Luka została zgłoszona dostawcy 1 października. Skoordynowane publiczne ujawnienie i wydanie poprawionej wersji nastąpiło19 stycznia.
Podsumowanie
Chociaż 7-Zip jest od dawna uważany za zaufane narzędzie do kompresji i ekstrakcji plików, ten incydent pokazuje, iż choćby powszechnie używane oprogramowanie może zawierać luki w zabezpieczeniach. Użytkownicy powinni niezwłocznie podjąć kroki w celu złagodzenia ryzyka związanego z podatnością, aby zapewnić bezpieczeństwo swoich systemów.
