Sicherheitsforscher von Trend Micro haben eine kritische Schwachstelle im weit verbreiteten Packprogramm 7-Zip identifiziert. Die Lücke CVE-2025-0411 ermöglicht es Angreifern, den Windows-Schutzmechanismus „Mark of the Web“ (MotW) zu umgehen, wodurch schädlicher Code aus dem Internet unbemerkt auf betroffenen Systemen ausgeführt werden kann.
Mark of the Web: Ein zentraler Windows-Schutzmechanismus
Der MotW-Schutzmechanismus kennzeichnet Dateien automatisch, wenn sie aus dem Internet heruntergeladen oder aus online bezogenen Archiven entpackt werden. Diese Kennzeichnung veranlasst Windows dazu, zusätzliche Sicherheitsüberprüfungen durchzuführen und Benutzer vor potenziell gefährlichen Inhalten zu warnen — beispielsweise die geschützte Ansicht in Microsoft Office oder die SmartScreen-Warnung beim Start ausführbarer Dateien. 7-Zip implementierte MotW-Unterstützung erstmals in Version 22.00 im Juni 2022.
Technische Analyse der Schwachstelle
Die Sicherheitslücke liegt in der fehlerhaften Verarbeitung verschachtelter Archive durch 7-Zip. Beim Entpacken von Dateien aus einem MotW-markierten Archiv, das wiederum ein weiteres Archiv enthält, werden die Sicherheitsmarkierungen nicht korrekt an die final extrahierten Dateien weitergegeben. Für die Ausnutzung reicht bereits der Besuch einer präparierten Webseite aus, von der ein speziell konstruiertes verschachteltes Archiv heruntergeladen wird.
Betroffen: Windows-Nutzer mit 7-Zip bis Version 24.08
Alle Windows-Nutzer, die 7-Zip in Versionen vor 24.09 verwenden, sind potenziell gefährdet. Da 7-Zip keine automatische Update-Funktion besitzt, verbleiben viele Installationen über lange Zeiträume auf alten Versionen. Besonders exponiert sind:
- Nutzer, die regelmäßig Archive aus dem Internet entpacken (Downloads, E-Mail-Anhänge, Software-Pakete)
- Unternehmen, die 7-Zip in automatisierten Build- oder Deployment-Pipelines einsetzen
- Systeme, auf denen Microsoft Office ohne aktuelle Updates läuft — die fehlende geschützte Ansicht erhöht das Risiko erheblich
Empfohlene Schutzmaßnahmen
Am 30. November 2024 wurde Version 24.09 von 7-Zip veröffentlicht, die CVE-2025-0411 behebt. Da das Programm keine automatische Aktualisierung durchführt, müssen Anwender das Update manuell installieren:
- Aktuelle Version von der offiziellen Website 7-zip.org herunterladen und installieren
- Version nach der Installation über Hilfe > Über 7-Zip prüfen — sie muss 24.09 oder höher lauten
- Unternehmensweite Verteilung über Software-Management-Systeme (WSUS, Intune, Ansible) veranlassen
- Bis zur Aktualisierung keine verschachtelten Archive aus unbekannten Quellen öffnen
- Microsoft Office auf aktuellem Patchstand halten, damit die geschützte Ansicht als Sicherheitsnetz erhalten bleibt
