近日,知名压缩软件7-Zip被曝存在一个高危漏洞(CVE-2025-0411),攻击者可利用该漏洞绕过Windows系统的“网络标记”(Mark of the Web,MotW)安全警告,在用户解压嵌套压缩包时直接执行恶意代码。目前,7-Zip开发者已于2024年11月30日发布24.09版本修复此漏洞,但大量未更新的用户仍面临风险。
漏洞如何绕过MotW防护?
MotW是Windows的关键安全机制,当用户从网络下载文件时,系统会为其添加“Zone.Identifier”标识流,标记文件来源不可信。自2022年6月发布的22.00版本起,7-Zip在解压下载的压缩包时,会自动为所有文件附加MotW标记。当用户双击此类文件时,系统会弹出安全警告,提示潜在风险;Microsoft Office也会以“受保护视图”打开文档,禁用宏等危险功能。
然而,趋势科技(Trend Micro)研究发现,当用户解压包含嵌套压缩包(即压缩包内再嵌套压缩包)的恶意文件时,7-Zip未能将MotW标记传递到内层解压后的文件。攻击者可借此构造特殊压缩包,使恶意文件绕过安全警告,直接以当前用户权限执行任意代码。
为何必须立即更新?
7-Zip开发者Igor Pavlov已在24.09版本中修复此漏洞,但由于软件缺乏自动更新功能,许多用户可能仍在使用旧版本。安全专家警告,此类漏洞是恶意软件攻击的“理想跳板”。例如:
-
2024年6月,微软修复的CVE-2024-38213漏洞曾被DarkGate恶意软件滥用,通过伪装成iTunes、NVIDIA等合法软件安装程序传播;
-
金融黑客组织Water Hydra(又名DarkCasino)利用CVE-2024-21412漏洞,在股票交易Telegram群组和外汇论坛中投递DarkMe远控木马。
用户如何防范?
立即更新:手动下载并安装7-Zip 24.09或更高版本(官网:https://www.7-zip.org/);
-
谨慎处理压缩包:避免打开来源不明的嵌套压缩文件,尤其是通过邮件、网盘或即时通讯工具接收的“发票”“合同”等诱饵文件;
-
检查文件属性:右键点击解压后的文件→“属性”→“详细信息”,确认是否包含“Zone.Identifier”标记;
-
启用多重防护:配合杀毒软件、防火墙及Windows Defender等工具,拦截可疑行为。
安全提醒
7-Zip作为全球广泛使用的开源压缩工具,其安全性直接影响数亿用户。此次漏洞再次暴露了软件更新机制的重要性,也警示用户需主动关注安全动态,避免因“懒得更新”而沦为攻击者的猎物。
关注我们,第一时间获取漏洞预警与防护指南!
原文始发于微信公众号(技术修道场):高危漏洞警报!7-Zip被曝绕过Windows安全防护,用户需立即更新至24.09版本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论