В популярном архиваторе 7-Zip была обнаружена уязвимость CVE-2025-0411, позволяющая злоумышленникам обходить защитный механизм Mark-of-the-Web. CVE-2025-0411 имеет рейтинг 7.0 по шкале CVSS. Уязвимость была оперативно исправлена, однако, поскольку в программе отсутствует механизм автоматического обновления, у некоторых пользователей могла остаться уязвимая версия. В связи с чем мы рекомендуем незамедлительно обновить архиватор.
Оглавление
Что такое Mark-of-the-Web?
Механизм Mark-of-the-Web (MOTW) заключается в проставлении специальной отметки в метаданных файлов, полученных из Интернета. При наличии такой отметки операционная система Windows считает такой файл потенциально опасным. Соответственно, если файл исполняемый, то при попытке его запуска пользователь увидит предупреждение о том, что он может причинить вред. Кроме того, ряд программ ограничивают функциональность файла (например, офисные приложения блокируют выполнение макросов). Подразумевается, что если из Интернета скачан архив, то при его распаковке все находившиеся внутри файлы также унаследуют отметку MOTW.
Злоумышленники неоднократно были замечены за попытками избавиться от отметки MOTW для того, чтобы ввести пользователя в заблуждение. В частности, несколько лет назад мы писали о том, как это делает группировка BlueNoroff. По классификации матрицы MITRE ATT&CK обход механизма MOTW относится к подтехнике T1553.005: Subvert Trust Controls: Mark-of-the-Web Bypass.
Что за уязвимость CVE-2025-0411 и чем она опасна?
CVE-2025-0411 позволяет злоумышленникам создать архив таким образом, что при его распаковке программой 7-Zip файлы не унаследуют пометку MOTW. В результате атакующий может эксплуатировать эту уязвимость для запуска вредоносного кода с правами пользователя. Разумеется, такая уязвимость опасна не сама по себе, а в составе более сложной атаки. Кроме того, для ее эксплуатации необходимо, чтобы пользователь запустил вредоносный файл. Однако, как мы уже говорили выше, злоумышленники часто прикладывают усилия, чтобы снять эту пометку, поэтому давать им лишний способ сделать это совершенно ни к чему.
Исследователи обнаружили CVE-2025-0411 еще в ноябре прошлого года, о чем незамедлительно сообщили автору 7-Zip, так что версия 24.09 от 29 ноября 2024 года уже не подвержена этой уязвимости.
Как оставаться в безопасности?
В первую очередь следует обновить 7-Zip как минимум до версии 24.09. Если архиватор используется в организации, мы рекомендуем обновить его централизованно (при наличии соответствующих инструментов) или известить пользователей о необходимости его скорейшего обновления. Продукты «Лаборатории Касперского» для домашнего пользователя могут проверить наличие обновлений ряда широко распространенных программ, в том числе и 7-Zip.
Кроме того, мы рекомендуем с осторожностью относиться к полученным из Интернета файлам и даже при уверенности в их безопасности не запускать их на компьютерах без надежного защитного решения.
Блог Касперского