Архиватор 7-Zip традиционно воспринимается как простой и безопасный инструмент, однако свежие сообщения от NHS England Digital показывают, что его использование может представлять серьезный риск. Специалисты британской медицинской службы предупреждают об активной эксплуатации уязвимости CVE-2025-11001, затрагивающей обработку ZIP-архивов в 7-Zip под Windows. Пользователям и организациям настоятельно рекомендуется в кратчайшие сроки обновиться до версии 7-Zip 25.00.
Что известно об уязвимости CVE-2025-11001 в 7-Zip
Уязвимость CVE-2025-11001 получила оценку 7,0 по шкале CVSS, что соответствует уровню «высокий». Проблема связана с некорректной обработкой символических ссылок (symlinks) в ZIP-архивах. Специально сформированный архив позволяет программе «обмануть» механизм распаковки и перенаправить операции в каталоги, которые изначально не должны были затрагиваться.
На практике это может привести к тому, что атакующий получит возможность выполнить произвольный код в контексте учетной записи пользователя, который запускает 7-Zip. В зависимости от прав этой учетной записи последствия варьируются от локальной компрометации профиля до частичного или полного захвата системы.
Как именно эксплуатируется уязвимость 7-Zip в Windows
Роль символических ссылок в атаке
Символические ссылки — это специальные файловые объекты, которые указывают на другие файлы или каталоги. В случае с уязвимостью 7-Zip ZIP-архив может содержать цепочку таких ссылок, в результате чего программа при распаковке выходит за пределы ожидаемого пути и получает доступ к нецелевым директориям.
Исследователь информационной безопасности, выступающий под ником pacbypass, опубликовал PoC-эксплоит (proof of concept) для CVE-2025-11001 и уточнил важные детали эксплуатации. По его данным, уязвимость актуальна только для Windows и не срабатывает в других операционных системах.
Требуемые условия для успешного взлома
Согласно анализу pacbypass, успешная эксплуатация CVE-2025-11001 требует выполнения одного из условий:
- запуск 7-Zip от имени привилегированного пользователя или сервисной учетной записи, обладающей расширенными правами;
- использование машины с включенным режимом разработчика (Developer Mode), что облегчает работу с символическими ссылками и повышает их влияние на файловую систему.
Таким образом, риск особенно высок в корпоративной среде, где 7-Zip часто используется в автоматизированных задачах, скриптах и сервисных процессах, выполняемых от привилегированных аккаунтов.
Связанная уязвимость CVE-2025-11002 и затронутые версии 7-Zip
Вместе с CVE-2025-11001 в версии 7-Zip 25.00 была исправлена еще одна схожая уязвимость — CVE-2025-11002, также оцененная в 7,0 по CVSS. Она затрагивает обработку символических ссылок аналогичным образом и позволяет удаленное выполнение кода при открытии специально подготовленного архива.
Обе уязвимости появились в кодовой базе после версии 7-Zip 21.02. Это означает, что уязвимыми являются все релизы между 21.02 и 25.00, не содержащие соответствующих исправлений. Для организаций, применяющих «замороженные» образы систем и не обновляющих ПО годами, это создает длительное окно атаки.
Оповещение NHS England Digital и риск реальных атак
На текущей неделе специалисты NHS England Digital официально сообщили об активной эксплуатации уязвимости CVE-2025-11001 в реальных атаках. Подробности на момент публикации остаются ограниченными: не раскрываются ни конкретные угрозные акторы, ни целевые отрасли, ни точные сценарии использования эксплоитов.
Однако сам факт подтвержденных инцидентов, в сочетании с публично доступными PoC-эксплоитами, значительно повышает уровень риска. В подобных ситуациях временной лаг между «точечными» атаками и массовой автоматизированной эксплуатацией обычно невелик, особенно когда речь идет о популярном и бесплатном инструменте, установленном на множестве рабочих станций и серверов.
Рекомендации по защите и обновлению 7-Zip
Ключевой шаг снижения рисков — оперативное обновление 7-Zip до версии 25.00, в которой устранены уязвимости CVE-2025-11001 и CVE-2025-11002. Важно учитывать, что 7-Zip не имеет встроенного механизма автоматического обновления. Новую версию необходимо:
- скачать вручную с официального сайта 7-Zip;
- проверить целостность дистрибутива (по возможности — с использованием контрольных сумм);
- установить обновление на все рабочие станции и серверы, где используется 7-Zip, включая системные образы и контейнеры.
Дополнительно рекомендуется:
- ограничить использование 7-Zip от имени привилегированных учетных записей;
- пересмотреть политики обработки входящих архивов, особенно из недоверенных источников;
- обновить инвентаризацию ПО и убедиться, что устаревшие версии 7-Zip не сохраняются в «забытых» каталогах и резервных образах;
- настроить мониторинг и журналирование действий, связанных с распаковкой архивов в критически важных системах.
На фоне роста числа атак, использующих уязвимости в массово распространенном ПО, своевременное обновление 7-Zip и выстраивание базовой гигиены кибербезопасности становятся критически важными. Регулярный аудит используемых программ, отказ от устаревших версий, ограничение прав учетных записей и осторожное обращение с архивами из внешних источников позволяют существенно снизить вероятность инцидентов, подобных эксплуатации CVE-2025-11001, и укрепить общую устойчивость инфраструктуры к новым угрозам.
