“当打开从互联网下载的档案时,WinZip 不会将 Mark-of-the-Web 保护传播到提取的文件”。
当用户下载恶意压缩文件(例如 .zip、.7z)并使用 WinZip 29.0 版(64 位)解压时,其中包含的文件会丢失 MotW 标签。这使得这些文件在 Windows 看来是安全的——即使它们嵌入了危险的宏或脚本。
攻击者可以利用此漏洞的方式
-
恶意存档创建:攻击者制作一个恶意存档文件(例如 .zip 或 .7z),其中包含有害文件,例如武器化的 .docm(启用宏的 Word 文档)。
-
交付和 MotW 标记:该档案随后会被分发并从互联网上下载。下载完成后,该档案会被打上“网络标记 (Mark-of-the-Web)”的标签。
-
WinZip 提取:用户使用 WinZip 打开下载的档案并提取其内容。
-
MotW 删除:至关重要的是,WinZip 会从提取的恶意文件中删除 MotW 标签。
-
恶意代码执行:提取的文件现在被视为受信任的本地文件,允许其中的恶意宏或脚本执行而不会触发安全警告。
此漏洞的后果
-
代码执行:攻击者可以在受害者的系统上执行任意代码,可能安装恶意软件或控制机器。
-
权限提升:利用此漏洞,攻击者可以在用户环境中获得提升的权限,从而执行通常无权执行的操作。
-
信息泄露:攻击者可能会访问和窃取存储在受感染系统上的敏感数据。
强烈建议用户
-
避免使用 WinZip 打开不受信任的档案。
-
使用支持 MotW 的替代存档工具(如 Windows 的内置提取器)。
-
部署能够检测恶意宏执行的端点保护。
原文始发于微信公众号(TtTeam):CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论