Вразливість 7-Zip, яка дає можливість зловмисникам обійти функцію безпеки Windows Mark of the Web (MotW), використовувалася російськими хакерами як нульовий день із вересня 2024 року. Про це повідомляє Bleeping Computer.
За словами дослідників Trend Micro, недолік використовувався в кампаніях зловмисного програмного забезпечення SmokeLoader, націлених на уряд України та приватні організації в країні.
MotW — це функція безпеки Windows, призначена для попередження користувачів про те, що файл, який вони збираються виконати, походить із ненадійних джерел, запитуючи крок підтвердження через додаткову підказку. Обхід MoTW дає можливість шкідливим файлам запускатися на комп’ютері жертви без попередження.
Під час завантаження документів і виконуваних файлів з Інтернету або отриманих як вкладення електронної пошти Windows додає до файлу спеціальний альтернативний потік даних Zone.Id, який називається Mark-of-the-Web (MoTW).
Під час спроби відкрити завантажений файл Windows перевірить, чи існує MoTW, і, якщо так, відобразить додаткові попередження для користувача, запитуючи, чи він впевнений, що бажає запустити файл. Подібним чином, відкриваючи документ у Word або Excel із прапорцем MoTW, Microsoft Office створить додаткові попередження та вимкне макроси.
Оскільки функції безпеки Mark of the Web запобігають автоматичному запуску небезпечних файлів, зловмисники зазвичай намагаються знайти обхідні шляхи MoTW, щоб їхні файли автоматично запускалися та виконувалися.
Протягом багатьох років дослідники кібербезпеки просили 7-Zip додати підтримку для Mark of Web, але лише у 2022 році цю функцію нарешті додали.
Команда Zero Day Initiative (ZDI) Trend Micro вперше виявила недолік, який зараз відстежується як CVE-2025-0411, 25 вересня 2024 року, спостерігаючи його в атаках, здійснених російськими хакерами.
Зловмисники використовували CVE-2025-0411 через подвійні архівні файли (архів в архіві), щоб скористатися відсутністю успадкування прапора MoTW, що призвело до зловмисного виконання файлу без ініціювання попереджень.
Спеціально створені архівні файли були надіслані цілям за допомогою фішингових електронних листів зі зламаних українських державних облікових записів, щоб обійти фільтри безпеки та мати вигляд легітимних.
Використовуючи методи гомогліфів, зловмисники сховали свої корисні дані у файлах 7-Zip, щоб вони виглядали як нешкідливі документи Word або PDF.
Хоча відкриття архіву поширює прапор MoTW, помилка CVE-2025-0411 призвела до того, що прапор не поширювався на вміст внутрішнього архіву, даючи можливість шкідливим сценаріям і виконуваним файлам запускатися безпосередньо.
На цьому останньому етапі запускається корисне навантаження SmokeLoader, зловмисне програмне забезпечення, яке використовувалося в минулому для встановлення викрадачів інформації, троянів, програм-вимагачів або створення бекдорів для постійного доступу.
У Trend Micro кажуть, що ці атаки вплинули на такі організації:
- Державну виконавчу службу України — Мін’юст.
- Запорізький автомобілебудівний завод (ПрАТ ЗАЗ).
- Київпастранс.
- SEA Company — виробника побутової техніки, електрообладнання й електроніки.
- Верховинську райдержадміністрацію.
- VUSA — страхову компанію.
- Київводоканал.
- Заліщицьку міську раду.
Оновлення 7-Zip
Попри те, що відкриття нульового дня відбулося у вересні, Trend Micro знадобився час до 1 жовтня 2024 року, щоб поділитися робочим експлойтом proof-of-of-concept (PoC) з розробниками 7-Zip.
Останній усунув ризики за допомогою патча, реалізованого у версії 24.09, випущеній 30 листопада 2024 року. Однак, оскільки 7-Zip не містить функції автоматичного оновлення, користувачі 7-Zip зазвичай запускають застарілі версії. Тому рекомендують завантажити останню версію, щоб переконатися, що вони захищені від цієї вразливості.
Читайте також на ProIT: Незахищені реєстри — ласий шматок для зловмисників. Як українці ризикують персональними даними через брак знань і похибки системи.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
