近日,科技媒体 bleepingcomputer发布报道称压缩工具 7-Zip 被发现存在高危漏洞(CVE-2025-0411),攻击者可利用该漏洞,绕过 Windows 的“网络标记”(MotW)安全功能,导致用户在解压嵌套压缩包中的恶意文件时,可能触发恶意代码执行。因此推荐用户尽快升级到 2024 年 11 月 30 日发布的 24.09 版本。
自2022年6月起,7-Zip 22.00版本开始支持“网络标记”(MotW)功能,会自动为从下载的压缩包中提取的文件添加MotW标记。
这个标记会通知操作系统、浏览器以及其他的应用程序,这些文件可能来自不可信来源,应谨慎处理。例如,双击带有MotW标记的可执行文件或打开文档时,用户会收到安全警告,Microsoft Office也会以“保护视图”打开文档并禁用宏等功能。
该漏洞主要源于7-Zip在处理带有MotW标记的压缩包时,未能将MotW标记传递到解压后的文件中,导致解压过程留下可乘之机,使得攻击者可以执行任意代码。
Trend Micro报告指出,该漏洞需用户交互才能被利用,例如用户访问恶意网页或打开恶意文件时,攻击者可制作带MotW标记的特殊压缩包,其中就内含有嵌套的恶意文件。
当用户使用存在安全漏洞的 7-Zip 版本解压该压缩包时,因 MotW 标记未被正确传播,恶意文件会绕过安全警告直接执行。
7-Zip开发者Igor Pavlov已于2024年11月30日发布24.09版本修复了该漏洞。但因7-Zip软件无自动更新功能,许多用户仍在使用易受攻击的版本,面临被恶意软件感染的风险。此前,类似的MotW绕过漏洞曾被DarkGate和Water Hydra等黑客组织利用来传播恶意软件。
End
