7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

admin 2025年1月28日15:01:15评论65 views字数 773阅读2分34秒阅读模式

CVE-2025-0411详细信息

此漏洞(CVSS评分为7.0)允许远程攻击者在受影响的7-Zip安装上绕过Web标记保护机制。需要用户交互才能利用此漏洞,即目标必须访问恶意页面或打开恶意文件。具体缺陷存在于对归档文件的处理中。当从带有Web标记的恶意存档中提取文件时,7-Zip不会将Web标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户上下文中执行任意代码。

脆弱版本

所有24.09之前的版本都被认为是易受的。

缓解措施

  • 更新7-Zip:从7-Zip官方网站下载并安装版本24.09或更高版本。

  • 对不可信文件保持谨慎:避免打开来自未知或可疑来源的文件,特别是压缩的档案。

  • 利用安全功能:确保您的操作系统和安全软件配置为检测和阻止恶意文件。

概念证明

作为POC的一部分,实现了一个简单的calc.exe加载器。方法是对触发漏洞的可执行文件进行双重压缩。

7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

接下来,双压缩的7Zip文件被上传到载荷交付服务器(在这个场景中是MediaFire)并交付给受害者,即通过发送恶意URL的钓鱼邮件。在下载文件后,可以看到“MotW”(Zone.ldentifier-下载的来源):

7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

作为执行的一部分,受害者需要点击压缩文件并运行可执行文件。补丁版在该场景中,使用7Zip24.09版本(修补),该版本会显示WindowsSmartScreen警告,说明该文件来自不可信的来源(因为它包含MotW)

7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

在本场景中,使用7Zip24.07版本(易受),该版本允许直接执行可执行文件而不显示任何警告(因为它不包含MotW)

7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

项目地址:https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC?tab=readme-ov-file

原文始发于微信公众号(雾都的猫):7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月28日15:01:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   7-Zip Web标记绕过漏洞[CVE-2025-0411]-POChttps://cn-sec.com/archives/3665599.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息