Найти в Дзене
B0rn2beR00T
178 подписчиков

Детальный разбор CVE-2025-0411 (Обход Mark-of-the-Web via 7-Zip)

95
3 мин
Приветствую, коллеги! Совсем недавно в голову мне пришла мысль выкладывать не только разборы кейсов и уязвимости, которые там эксплуатируются, а ещё и ресёрчи уязвимостей. Такой формат пробую впервые на канале и надеюсь, такие статьи будут полезны и интересны вам. В сегодняшнем разборе будет рассмотрена довольно свежая уязвимость архиватора 7-Zip, которой часто пользуются красные команды и злоумышленники социальной инженерии. Приступим к разбору CVE-2025-0411! Использование рассмотренных техник взлома были исследованы только в учебных целях! Использование их в незаконных целях, чтобы навредить другим, преследуется законом. Автор не несёт ответственности за ваши действия. В 7-Zip, широко используемом архиваторе с открытым исходным кодом, была обнаружена критическая уязвимость. Эта уязвимость, получившая идентификатор CVE-2025-0411 (также известная как ZDI-CAN-25456), позволяет удалённым злоумышленникам обходить механизм защиты Mark-of-the-Web (MotW) в системах Windows. Mark-of-the-We
Оглавление

Приветствую, коллеги!

Совсем недавно в голову мне пришла мысль выкладывать не только разборы кейсов и уязвимости, которые там эксплуатируются, а ещё и ресёрчи уязвимостей. Такой формат пробую впервые на канале и надеюсь, такие статьи будут полезны и интересны вам.

В сегодняшнем разборе будет рассмотрена довольно свежая уязвимость архиватора 7-Zip, которой часто пользуются красные команды и злоумышленники социальной инженерии.

Приступим к разбору CVE-2025-0411!

Использование рассмотренных техник взлома были исследованы только в учебных целях! Использование их в незаконных целях, чтобы навредить другим, преследуется законом. Автор не несёт ответственности за ваши действия.
-2

В 7-Zip, широко используемом архиваторе с открытым исходным кодом, была обнаружена критическая уязвимость. Эта уязвимость, получившая идентификатор CVE-2025-0411 (также известная как ZDI-CAN-25456), позволяет удалённым злоумышленникам обходить механизм защиты Mark-of-the-Web (MotW) в системах Windows.

Mark-of-the-Web (MotW) — это специальный атрибут, который Windows присваивает файлам, загруженным из Интернета или полученным по электронной почте. Если у файла есть этот атрибут, Windows и совместимые приложения (например, Microsoft Office и Edge) предупреждают пользователей перед открытием файла или даже могут ограничивать доступ к определенным видам активного содержимого (например, к макросам или исполняемому коду).

Выглядит Mark-of-the-Web следующим образом:

-3

Эта функция важна, поскольку она помогает предотвратить автоматическое выполнение вредоносных файлов при двойном щелчке по ним.

Последствия: Извлечённые файлы не сохраняют MotW, что может привести к запуску пользователями ненадёжного кода без предупреждений.

Как работает уязвимость

Обычно, если вы загружаете ZIP-файл из Интернета, Windows добавляет в архив файл MotW. Если вы извлекаете содержимое с помощью встроенного в Windows средства извлечения ZIP-файлов, в извлеченных файлах также будет содержаться MotW, поэтому Windows и некоторые приложения будут предупреждать вас перед их открытием.

Если открыть и распаковать архив с пометкой Mark-of-the-Web с помощью 7-Zip, извлечённые файлы не унаследуют эту метку безопасности. Это означает, что потенциально опасные файлы (.exe, .js, документы Office с макросами) будут открываться без стандартных предупреждений безопасности. Злоумышленники могут использовать эту уязвимость, побуждая пользователей распаковать и запустить вредоносные файлы.

Шаги по эксплуатации

Вариаций эксплуатации такой уязвимости много. Я покажу один из вариантов пошагово.

1) Подготавливаем cpp-файл с вредоносным кодом (например reverse-shell).

На гите есть множество готовых шаблонов (безобидных для проверки и менее безобидных).

2) Скомпилировать файл в исполняемый модуль с помощью команды cl <filename>. Результатом будет файл формата .exe.

3) Добавить полученный исполняемый файл в архив формата 7Z.

4) Создать второй архив 7Z, содержащий архив из предыдущего шага (архив в архиве). Маскировка файла с вредоносным кодом будет выглядеть следующим образом:

-4

5) Доставить финальный архив к цели. Для этого можно разместить файл с вредоносным кодом в файлообменник, дроп-сервис, почту, загрузить на форум или использовать любой другой подходящий канал, которым точно воспользуется цель.

6) Запустить прослушивание ожидаемого порта на атакующей машине:

-5

7) После запуска целью вредоносного файла (без предупреждения безопасности) устанавливается обратное соединение.

8) Успешное получение shell-сессии для дальнейшего продвижения по инфраструктуре:

-6

Пример успешной эксплуатации

-7

В этом случае используется версия 7-Zip 24.07 (уязвимая), которая позволяет прямое выполнение исполняемого файла без отображения каких-либо предупреждений (поскольку она не содержит MotW).

Пример безуспешной эксплуатации

-8

В этом случае используется версия 7-Zip 24.09 (с патчем), которая отображает предупреждение Windows SmartScreen о том, что этот файл получен из ненадёжного источника (поскольку он содержит MotW).

Чтобы проверить наличие MotW в файле или добавить его вручную

# Чтобы узнать, есть ли в файле MotW
Get-Content .\malicious.zip -Stream Zone.Identifier

# Чтобы добавить MotW в файл
Add-Content .\malicious.zip -Stream Zone.Identifier '[ZoneTransfer]`nZoneId=3'

Способы защиты

  • Обновить 7-Zip до версии 24.09 (пропатченная версия).
  • Используйте альтернативные архиваторы для распаковки файлов из ненадёжных источников.
  • Настроить групповые политики или средства контроля ИТ-инфраструктуры: ограничьте список приложений, разрешённых для распаковки файлов, полученных из интернета.
2
Гаджеты и электроника
5,73 млн интересуются