![7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC](http://cn-sec.com/wp-content/uploads/2025/01/6-1737610183.gif "7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC")
CVE-2025-0411 详细信息
“此漏洞(CVSS SCORE 7.0)允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。特定缺陷存在于存档文件的处理中。从带有 Mark-of-the-Web 的精心设计的存档中提取文件时,7-Zip 不会将 Mark-of-the-Web 传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。”
存在漏洞的版本
-
24.09之前的所有版本都存在漏洞。
缓解措施
-
“更新 7-Zip:从官方 7-Zip 网站下载并安装 24.09 或更高版本。”
-
“谨慎对待不受信任的文件:避免打开来自未知或可疑来源的文件,尤其是压缩档案。”
-
“利用安全功能:确保您的操作系统和安全软件配置为检测和阻止恶意文件。”
概念验证
作为 POC 的一部分,实现了 calc.exe 的一个简单加载器。
武器化
该方法是双重压缩触发漏洞的可执行文件。
![7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC](http://cn-sec.com/wp-content/uploads/2025/01/1-1737610185.gif "7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC")
送货
接下来,将双重压缩的 7Zip 文件上传到有效载荷传送服务器(在本例中为 MediaFire),并通过提供恶意 URL 的网络钓鱼电子邮件传送给受害者。下载文件后,可以看到“MotW”(Zone.Identifier - 下载来源):
![7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC](http://cn-sec.com/wp-content/uploads/2025/01/4-1737610186.png "7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC")
执行
作为执行的一部分,受害者需要点击压缩文件并运行可执行文件。
修补版本
在这种情况下,使用 7Zip 24.09 版本(已修补),它显示 Windows SmartScreen 警告,该文件来自不受信任的来源(因为它包含 MotW)。
![7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC](http://cn-sec.com/wp-content/uploads/2025/01/0-1737610188.gif "7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC")
存在漏洞的版本
在这种情况下,使用 7Zip 24.07 版本(易受攻击),它允许直接执行可执行文件而不显示任何警告(因为它不包含 MotW)。
![7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC](http://cn-sec.com/wp-content/uploads/2025/01/5-1737610190.gif "7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC")
参考
-
https://www.zerodayinitiative.com/advisories/ZDI-25-045/
-
https://nvd.nist.gov/vuln/detail/CVE-2025-0441
-
https://securityonline.info/cve-2025-0411-7-zip-security-vulnerability-enables-code-execution-update-now/
项目地址:
https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC
原文始发于微信公众号(Ots安全):7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论