CVE-2025-0411 详细信息
“此漏洞 (CVSS SCORE 7.0) 允许远程攻击者绕过受影响的 7-Zip 安装上的 Web 标记保护机制。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。 具体缺陷存在于存档文件的处理中。从带有 Web 标记的精心制作的存档中提取文件时,7-Zip 不会将 Web 标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。
易受攻击的版本
缓解措施
- “更新 7-Zip:从 24.09-Zip 官方网站下载并安装 7 或更高版本。”
- “谨慎对待不受信任的文件:避免打开来自未知或可疑来源的文件,尤其是压缩档案。”
- “利用安全功能:确保您的作系统和安全软件配置为检测和阻止恶意文件。”
概念验证
作为 POC 的一部分,实现了一个简单的 calc.exe 加载器。
武器化
该方法是对触发漏洞的可执行文件进行双重压缩。
交货
接下来,双压缩的 7Zip 文件上传到有效负载交付服务器(在这种情况下为 MediaFire)并传递给受害者,即通过提供恶意 URL 的网络钓鱼电子邮件。 下载文件后,可以看到“MotW”(Zone.Identifier - 下载的来源):
执行
作为执行的一部分,受害者需要单击压缩文件并运行可执行文件。
修补版本
在此方案中,使用 7Zip 24.09 版本(已修补),它显示 Windows SmartScreen 警告,指出此文件来自不受信任的源(因为它包含 MotW)。
易受攻击的版本
在这种情况下,使用 7Zip 24.07 版本(易受攻击),它允许直接执行可执行文件而不显示任何警告(因为它不包含 MotW)。
|小黑屋|吾要学习网
( 陕ICP备2025065860号-1 )|网站地图|陕公网安备61010302001313号
发表于 2025-8-6 12:48:29
