CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行

admin 2025年5月4日03:06:07评论9 views字数 895阅读2分59秒阅读模式
热门文件压缩工具 WinZip 被曝光存在严重安全漏洞(CVE-2025-33028),致使数百万用户面临静默代码执行风险。作为 Windows 抵御网络钓鱼与恶意软件的重要防线,Web 标记(MotW)功能通过标记互联网下载文件、触发运行前安全警告,有效拦截含宏或可执行文件的恶意威胁。但该漏洞可直接绕过 MotW 机制,使攻击者能借助精心构造的压缩文件,在不触发任何 Windows 安全提示的情况下,悄然植入恶意负载,导致用户安全防护措施完全失效。
CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行

“当打开从互联网下载的档案时,WinZip 不会将 Mark-of-the-Web 保护传播到提取的文件”。

当用户下载恶意压缩文件(例如 .zip、.7z)并使用 WinZip 29.0 版(64 位)解压时,其中包含的文件会丢失 MotW 标签。这使得这些文件在 Windows 看来是安全的——即使它们嵌入了危险的宏或脚本。

攻击者可以利用此漏洞的方式

  • 恶意存档创建:攻击者制作一个恶意存档文件(例如 .zip 或 .7z),其中包含有害文件,例如武器化的 .docm(启用宏的 Word 文档)。

  • 交付和 MotW 标记:该档案随后会被分发并从互联网上下载。下载完成后,该档案会被打上“网络标记 (Mark-of-the-Web)”的标签。

  • WinZip 提取:用户使用 WinZip 打开下载的档案并提取其内容。

  • MotW 删除:至关重要的是,WinZip 会从提取的恶意文件中删除 MotW 标签。

  • 恶意代码执行:提取的文件现在被视为受信任的本地文件,允许其中的恶意宏或脚本执行而不会触发安全警告。

此漏洞的后果

  1. 代码执行:攻击者可以在受害者的系统上执行任意代码,可能安装恶意软件或控制机器。

  2. 权限提升:利用此漏洞,攻击者可以在用户环境中获得提升的权限,从而执行通常无权执行的操作。

  3. 信息泄露:攻击者可能会访问和窃取存储在受感染系统上的敏感数据。

强烈建议用户

  1. 避免使用 WinZip 打开不受信任的档案。

  2. 使用支持 MotW 的替代存档工具(如 Windows 的内置提取器)。

  3. 部署能够检测恶意宏执行的端点保护。

原文始发于微信公众号(TtTeam):CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月4日03:06:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行http://cn-sec.com/archives/4027012.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息