当用户从不受信任的来源(例如 Internet)下载文件时,Windows操作系统会向文件添加一种称为Web 标记 (MotW)的源标识符。此标志警告 Windows 和用户该文件具有潜在危险,因此系统可以更加小心地处理该文件。例如,如果您尝试运行带有 MotW 标记的文件,Windows Defender SmartScreen 将检查该文件的信誉并向您发送警告,以帮助防止恶意软件感染。
下图Zone.Identifier显示了有关压缩文件的信息。此信息告诉 Windows 该文件是从互联网下载的。
文件属性显示 MotW 标签信息如下(蓝色框)。当您运行带有此标签的文件时,会出现如上所示的警告弹出窗口。
根本原因
CVE-2025-0411 漏洞允许攻击者通过使用 7-Zip 对文件进行双重压缩来绕过此 MotW 保护。 Windows 仅将外部压缩文件标记为 MotW,而不将其内部的文件标记为 MotW。 通过利用这一点,攻击者可以通过将恶意可执行文件隐藏在内部压缩文件中并通过外部压缩文件进行分发来绕过 Windows 的 MotW 保护。如果用户使用 7-Zip 打开这个双压缩文件并运行其中的文件,则恶意软件可能会在没有任何 MotW 警告或 Windows Defender SmartScreen 扫描的情况下执行。
验证
此图展示了 CVE-2025-0411 的 PoC 演示,其中一个 ZIP 存档嵌套在另一个 ZIP 存档中。在这个 PoC 中,嵌套存档
(poc.outer.zippoc.inner.zip)内的文件poc.bat没有 MotW 保护。缺乏保护大大增加了恶意软件感染的风险,并阻止 Windows Defender SmartScreen 正确检查文件的信誉和签名。如果你解压文件并运行它,则不会出现警告弹出,并且它将按如下方式运行。
缓解建议
-
更新 7-Zip:从 7-Zip 官方网站下载并安装 24.09 或更高版本。
-
谨慎对待不受信任的文件:避免打开来自未知或可疑来源的文件,尤其是压缩档案。
-
利用安全功能:确保您的操作系统和安全软件配置为检测和阻止恶意文件。
原文始发于微信公众号(Khan安全团队):CVE-2025-0411 7-Zip Mark-of-the-Web 绕过
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论