研究人員在人氣的壓縮軟件7-Zip上,發現安全漏洞CVE-2025-0411,攻擊者能藉此繞過Mark-of-the-Web保護機制,儘管安全漏洞得到快速的修復,但程式並沒有自動更新機制,所以應該不少用戶仍然在使用漏洞版本。
甚麼是Mark-of-the-Web?
Mark-of-the-Web (MOTW)機制會在所有從互聯網獲得的檔案加入特別metadata標記,被標記後Windows操作系統便會認為該檔案含有潛在危險,如果檔案能夠執行,用戶便會看到警告提示檔案可能會在執行後做成禍害,也有部份程式限制有標記檔案的功能(例如MS Office應用程式封鎖執行巨集),如果壓縮檔從互聯網上下載,在解壓後所有檔案都會有MOTW。為了誤導用戶,犯罪份子持續企圖擺貺MOTW,在數年前APT組織BlueNoroff曾找到方法繞過該機制。
甚麼是CVE-2025-0411安全漏洞?
CVE-2025-0411讓攻擊者可以創建一個加壓檔,透過7-Zip解壓後檔案不會有MOTW標記,結果攻擊者可以通過這個安全漏洞,利用用戶的權限啟動惡意編碼,這個安全漏洞的危險之處並非其自身,而是作為複雜攻擊的一部份時,此外,要利用這個安全漏洞,用戶需要手動啟動惡意檔案,移除MOTW標記正好讓用戶不會收到警告訊息而容易掉入陷阱。研究人員在2024年11月發現安全漏洞,並立即向7-Zip報告,在2024年11月29日推出的24.09版本已不存在該安全漏洞。
盡早更新版本
為了避免成為受害者,首先是把7-Zip更新至24.09或較後的版本,如果有機構正在使用這款軟件,建議透過中央形式進行更新(如果具備相應工具),或至少盡快進行更新,另外,我們建議所有互聯網用戶,在處理來自互聯網的檔案時要額外小心,在沒有可靠的防護時不要把開那些檔案。
資料來源:Kaspersky Blog
