CVE-2025-0411详细信息
此漏洞(CVSS评分为7.0)允许远程攻击者在受影响的7-Zip安装上绕过Web标记保护机制。需要用户交互才能利用此漏洞,即目标必须访问恶意页面或打开恶意文件。具体缺陷存在于对归档文件的处理中。当从带有Web标记的恶意存档中提取文件时,7-Zip不会将Web标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户上下文中执行任意代码。
脆弱版本
所有24.09之前的版本都被认为是易受的。
缓解措施
-
更新7-Zip:从7-Zip官方网站下载并安装版本24.09或更高版本。
-
对不可信文件保持谨慎:避免打开来自未知或可疑来源的文件,特别是压缩的档案。
-
利用安全功能:确保您的操作系统和安全软件配置为检测和阻止恶意文件。
概念证明
作为POC的一部分,实现了一个简单的calc.exe加载器。方法是对触发漏洞的可执行文件进行双重压缩。
![7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC](http://cn-sec.com/wp-content/uploads/2025/01/6-1737610155.gif "7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC")
接下来,双压缩的7Zip文件被上传到载荷交付服务器(在这个场景中是MediaFire)并交付给受害者,即通过发送恶意URL的钓鱼邮件。在下载文件后,可以看到“MotW”(Zone.ldentifier-下载的来源):
![7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC](http://cn-sec.com/wp-content/uploads/2025/01/8-1737610157.png "7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC")
作为执行的一部分,受害者需要点击压缩文件并运行可执行文件。补丁版在该场景中,使用7Zip24.09版本(修补),该版本会显示WindowsSmartScreen警告,说明该文件来自不可信的来源(因为它包含MotW)
![7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC](http://cn-sec.com/wp-content/uploads/2025/01/9-1737610159.png "7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC")
在本场景中,使用7Zip24.07版本(易受),该版本允许直接执行可执行文件而不显示任何警告(因为它不包含MotW)
![7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC](http://cn-sec.com/wp-content/uploads/2025/01/1-1737610160.png "7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC")
项目地址:https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC?tab=readme-ov-file
原文始发于微信公众号(雾都的猫):7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论