Специалисты Trend Micro обнаружили критическую уязвимость CVE-2025-0411 в архиваторе 7-Zip, которая позволяла злоумышленникам обходить механизм безопасности Windows — Mark of the Web (MotW). По данным исследования Trend Micro, уязвимость активно эксплуатировалась в кибератаках на государственные и коммерческие организации Украины, предположительно российскими группировками, с целью доставки загрузчика SmokeLoader. Данная брешь потенциально открывала возможности для выполнения вредоносного кода на компьютерах пользователей.
Механизм работы Mark of the Web и его значимость
Mark of the Web представляет собой критически важную функцию безопасности Windows, которая была интегрирована в 7-Zip начиная с версии 22.00 в июне 2022 года. Система MotW автоматически помечает файлы, загруженные из интернета или извлеченные из скачанных архивов, как потенциально опасные. Это позволяет операционной системе и различным приложениям применять дополнительные меры безопасности при работе с такими файлами.
Технические детали уязвимости
Обнаруженная уязвимость связана с некорректной обработкой вложенных архивов в 7-Zip. При извлечении файлов из архивов с меткой MotW программа не передавала эти метки извлеченным файлам, что позволяло обойти встроенные механизмы защиты Windows. Особую опасность представляет тот факт, что для эксплуатации уязвимости достаточно было простого посещения вредоносного веб-сайта или открытия специально сформированного файла.
Последствия и риски для пользователей
В результате данной уязвимости пользователи лишались важных предупреждений безопасности при работе с потенциально опасными файлами. Microsoft Office не активировал режим Protected View, а Windows не выводила предупреждения при запуске исполняемых файлов. Это создавало благоприятные условия для распространения вредоносного ПО и проведения целевых атак.
Пользователи 7-Zip до версии 24.09 под угрозой
Разработчик 7-Zip Игорь Павлов выпустил исправление уязвимости в версии 24.09 от 30 ноября 2024 года. Поскольку программа не имеет функции автоматического обновления, всем пользователям настоятельно рекомендуется вручную обновить архиватор до актуальной версии. Это позволит обеспечить корректную работу механизма Mark of the Web и защитить систему от потенциальных угроз.
Поскольку 7-Zip не имеет функции автоматического обновления, необходимо вручную скачать последнюю версию с официального сайта 7-zip.org. В корпоративной среде целесообразно также настроить правила электронной почты для блокировки вложенных архивов в архивах и провести обучение сотрудников по атакам с использованием гомоглифов — методу социальной инженерии, применявшемуся в этой кампании.
