Популярний безкоштовний архіватор 7-Zip, який багато років сприймався як надійний та «безпечний за замовчуванням» інструмент, опинився в центрі серйозної проблеми кібербезпеки. Служба NHS England Digital повідомила про активну експлуатацію уразливості CVE-2025-11001 у середовищі Windows та закликала користувачів і організації якнайшвидше перейти на версію 7-Zip 25.00.
Уразливість CVE-2025-11001 у 7-Zip: технічна суть та рівень ризику
Уразливість CVE-2025-11001 отримала оцінку 7,0 за шкалою CVSS, що відповідає рівню «високий». Проблема пов’язана з некоректною обробкою символічних посилань (symlinks) всередині ZIP-архівів. Зловмисник може створити спеціально підготовлений архів, який змусить 7-Zip під час розпакування працювати не лише з цільовим каталогом, а й із іншими директоріями файлової системи.
Таке відхилення від очікуваної логіки обробки архіву відкриває можливість виконання довільного коду у контексті облікового запису користувача, що запускає 7-Zip. Якщо це обліковий запис із розширеними правами, наслідки можуть включати як локальну компрометацію профілю, так і частковий чи повний контроль над робочою станцією або сервером.
Як експлуатують уразливість 7-Zip у Windows через символічні посилання
Роль символічних посилань у ланцюжку атаки
Символічні посилання — це спеціальні файлові об’єкти, які вказують на інші файли або каталоги та перенаправляють операції введення/виведення. Вразливість у 7-Zip дозволяє вбудувати в ZIP-архів ланцюжок таких symlink-об’єктів, унаслідок чого програма при розпакуванні виходить за межі безпечного шляху та взаємодіє з нецільовими каталогами системи.
Дослідник інформаційної безпеки під псевдонімом pacbypass опублікував PoC-експлойт (proof of concept) для CVE-2025-11001 і уточнив ключові деталі. За його даними, уразливість проявляється лише в операційній системі Windows і не відтворюється на інших платформах, що робить саме Windows-середовище основною ціллю для атак.
Коли експлойт працює: привілейовані акаунти та Developer Mode
За аналізом pacbypass, для успішної експлуатації CVE-2025-11001 має бути виконано одне з двох умов:
- 7-Zip запускається від імені привілейованого користувача або сервісної облікової записи із розширеними правами доступу;
- на цільовій машині увімкнено Developer Mode (режим розробника) у Windows, що спрощує роботу з символічними посиланнями та посилює їх вплив на файлову систему.
Це означає, що особливо вразливими є корпоративні середовища, де 7-Zip часто використовується в скриптах, автоматизованих завданнях та сервісах, що виконуються під системними або адміністраторськими обліковими записами. У таких сценаріях один шкідливий архів може стати точкою входу для глибокої компрометації інфраструктури.
Пов’язана уразливість CVE-2025-11002 та які версії 7-Zip під загрозою
Разом із CVE-2025-11001 у релізі 7-Zip 25.00 було усунуто ще одну подібну проблему — CVE-2025-11002, яка також оцінена в 7,0 за CVSS. Вона стосується обробки символічних посилань у ZIP-архівах та може призвести до віддаленого виконання коду при відкритті спеціально сформованого файлу.
Обидві уразливості з’явилися в кодовій базі після версії 7-Zip 21.02. Таким чином, усі збірки між 7-Zip 21.02 та 7-Zip 25.00, які не містять виправлень, вважаються вразливими. Для організацій, що використовують «заморожені» образи систем і рідко оновлюють ПЗ, це створює тривале «вікно можливостей» для атакувальників.
Попередження NHS England Digital: підтверджена активна експлуатація
На цьому тижні NHS England Digital офіційно підтвердила, що уразливість CVE-2025-11001 вже застосовується у реальних атаках. Хоча деталі інцидентів наразі обмежені — не називаються конкретні групи зловмисників, сектори чи сценарії використання експлойтів — сам факт експлуатації у «бойових» умовах суттєво підвищує рівень ризику.
Додатковим фактором загрози є публічно доступні PoC-експлойти. Практика останніх років (зокрема кейси з WinRAR та популярним серверним ПЗ) показує, що шлях від поодиноких цілеспрямованих атак до масової автоматизованої експлуатації часто займає лічені тижні. З огляду на широку розповсюдженість 7-Zip, ця уразливість має високий потенціал для масштабного зловживання.
Як захиститися: оновлення 7-Zip та базова гігієна кібербезпеки
Ключовий крок — негайно оновити 7-Zip до версії 25.00, де виправлено CVE-2025-11001 та CVE-2025-11002. Важливо пам’ятати, що 7-Zip не має вбудованого автооновлення, тож адміністратори повинні:
- завантажити інсталяційні файли з офіційного сайту 7-Zip;
- за можливості перевірити цілісність дистрибутива (контрольні суми, цифровий підпис);
- розгорнути оновлення на всіх робочих станціях, серверах, у шаблонах образів і контейнерах, де використовується 7-Zip.
Додатково рекомендується обмежити використання 7-Zip від імені привілейованих акаунтів, скоригувати політики роботи з вхідними архівами (особливо з недовірених джерел), провести інвентаризацію ПЗ, щоб видалити застарілі копії 7-Zip у «забутих» каталогах і резервних образах, а також налаштувати журналювання та моніторинг операцій розпакування в критичних системах.
Своєчасне оновлення 7-Zip, жорстке управління правами доступу, регулярний аудит програмного забезпечення та обережне ставлення до будь-яких архівів ззовні допомагають суттєво знизити ймовірність успішної експлуатації CVE-2025-11001 та подібних уразливостей. Чим швидше організації закриють це «вікно ризику», тим менше шансів, що звичайний інструмент стиснення даних стане відправною точкою серйозного інциденту кібербезпеки.
