7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] - POC

admin

CVE-2025-0411 详细信息

“此漏洞 （CVSS SCORE 7.0） 允许远程攻击者绕过受影响的 7-Zip 安装上的 Web 标记保护机制。利用此漏洞需要用户交互，因为目标必须访问恶意页面或打开恶意文件。 具体缺陷存在于存档文件的处理中。从带有 Web 标记的精心制作的存档中提取文件时，7-Zip 不会将 Web 标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。

易受攻击的版本

• 24.09 之前的所有版本都被视为易受攻击。
  

缓解措施

• “更新 7-Zip：从 24.09-Zip 官方网站下载并安装 7 或更高版本。”
• “谨慎对待不受信任的文件：避免打开来自未知或可疑来源的文件，尤其是压缩档案。”
• “利用安全功能：确保您的作系统和安全软件配置为检测和阻止恶意文件。”
  

概念验证

作为 POC 的一部分，实现了一个简单的 calc.exe 加载器。

武器化

该方法是对触发漏洞的可执行文件进行双重压缩。

交货

接下来，双压缩的 7Zip 文件上传到有效负载交付服务器（在这种情况下为 MediaFire）并传递给受害者，即通过提供恶意 URL 的网络钓鱼电子邮件。 下载文件后，可以看到“MotW”（Zone.Identifier - 下载的来源）：

执行

作为执行的一部分，受害者需要单击压缩文件并运行可执行文件。

修补版本

在此方案中，使用 7Zip 24.09 版本（已修补），它显示 Windows SmartScreen 警告，指出此文件来自不受信任的源（因为它包含 MotW）。

易受攻击的版本

在这种情况下，使用 7Zip 24.07 版本（易受攻击），它允许直接执行可执行文件而不显示任何警告（因为它不包含 MotW）。