Νέο update για το 7-Zip: Διορθώνει σφάλματα ασφαλείας των Windows MoTW

​Μια ευπάθεια υψηλής σοβαρότητας στην αρχειοθέτηση αρχείων 7 Zip επιτρέπει στους εισβολείς να παρακάμψουν τη δυνατότητα ασφαλείας των Windows Mark of the Web (MotW) και να εκτελούν κώδικα στους υπολογιστές των χρηστών κατά την εξαγωγή κακόβουλων αρχείων από ένθετα αρχεία.

Το 7-Zip πρόσθεσε υποστήριξη για το MotW τον Ιούνιο του 2022, ξεκινώντας από την έκδοση 22.00. Έκτοτε, έχει προσθέσει αυτόματα σημαίες MotW (ειδικές εναλλακτικές ροές δεδομένων «Zone.Id») σε όλα τα αρχεία που εξάγονται από τα ληφθέντα αρχεία.

Αυτή η σημαία ενημερώνει το λειτουργικό σύστημα, τα προγράμματα περιήγησης Ιστού και άλλες εφαρμογές ότι τα αρχεία ενδέχεται να προέρχονται από μη αξιόπιστες πηγές και θα πρέπει να αντιμετωπίζονται με προσοχή.

Ως αποτέλεσμα, όταν κάνουν διπλό κλικ σε επικίνδυνα αρχεία που εξάγονται με χρήση 7-Zip, οι χρήστες θα προειδοποιούνται ότι το άνοιγμα ή η εκτέλεση τέτοιων αρχείων μπορεί να οδηγήσει σε δυνητικά επικίνδυνη συμπεριφορά, συμπεριλαμβανομένης της εγκατάστασης κακόβουλου λογισμικού στις συσκευές τους.

Το Microsoft Office θα ελέγξει επίσης για τις σημαίες MotW και εάν βρεθεί, θα ανοίξει έγγραφα Προστατευμένη όψηπου ενεργοποιεί αυτόματα τη λειτουργία μόνο για ανάγνωση και απενεργοποιεί όλες τις μακροεντολές.

Ωστόσο, όπως εξήγησε η Trend Micro σε ένα συμβουλευτικός που δημοσιεύτηκε το Σαββατοκύριακο, ένα ελάττωμα ασφαλείας εντοπίστηκε ως CVE-2025-0411 μπορεί να επιτρέψει στους εισβολείς να παρακάμψουν αυτές τις προειδοποιήσεις ασφαλείας και να εκτελέσουν κακόβουλο κώδικα στους υπολογιστές των στόχων τους.

“Αυτή η ευπάθεια επιτρέπει στους απομακρυσμένους εισβολείς να παρακάμψουν τον μηχανισμό προστασίας Mark-of-the-Web στις επηρεαζόμενες εγκαταστάσεις του 7-Zip. Απαιτείται αλληλεπίδραση χρήστη για την εκμετάλλευση αυτής της ευπάθειας, καθώς ο στόχος πρέπει να επισκεφτεί μια κακόβουλη σελίδα ή να ανοίξει ένα κακόβουλο αρχείο.” Λέει η Trend Micro.

“Το συγκεκριμένο ελάττωμα υπάρχει στον χειρισμό αρχειοθετημένων αρχείων. Κατά την εξαγωγή αρχείων από ένα δημιουργημένο αρχείο που φέρει το Mark-of-the-Web, το 7-Zip δεν διαδίδει το Mark-of-the-Web στα εξαγόμενα αρχεία. ο εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει αυθαίρετο κώδικα στο πλαίσιο του τρέχοντος χρήστη.”

Ευτυχώς, ο προγραμματιστής του 7-Zip Igor Pavlov έχει ήδη διορθώσει αυτήν την ευπάθεια στις 30 Νοεμβρίου 2024με την κυκλοφορία του 7-Zip 24.09.

“7-Zip File Manager δεν διέδωσε τη ροή Zone.Identifier για εξαγόμενα αρχεία από ένθετα αρχεία (εάν υπάρχει ανοιχτό αρχείο μέσα σε άλλο ανοιχτό αρχείο),” Pavlov είπε.

Παρόμοια ελαττώματα που αξιοποιούνται για την ανάπτυξη κακόβουλου λογισμικού

Ωστόσο, δεδομένου ότι το 7-Zip δεν διαθέτει δυνατότητα αυτόματης ενημέρωσης, πολλοί χρήστες πιθανότατα εξακολουθούν να εκτελούν μια ευάλωτη έκδοση την οποία οι φορείς απειλών θα μπορούσαν να εκμεταλλευτούν για να τους μολύνουν με κακόβουλο λογισμικό.

Όλοι οι χρήστες 7-Zip θα πρέπει να επιδιορθώσουν τις εγκαταστάσεις τους το συντομότερο δυνατό, λαμβάνοντας υπόψη ότι τέτοιες ευπάθειες χρησιμοποιούνται συχνά σε επιθέσεις κακόβουλου λογισμικού.

Για παράδειγμα, τον Ιούνιο, η Microsoft αντιμετώπισε μια ευπάθεια παράκαμψης ασφαλείας Mark of the Web (CVE-2024-38213) την οποία οι χειριστές κακόβουλου λογισμικού του DarkGate έχουν εκμεταλλευτεί στη φύση ως μηδενική ημέρα από τον Μάρτιο του 2024 για να παρακάμψουν την προστασία SmartScreen και να εγκαταστήσουν κακόβουλο λογισμικό καμουφλαρισμένο ως προγράμματα εγκατάστασης για Apple iTunes, NVIDIA, Notion και άλλο νόμιμο λογισμικό.

Η ομάδα hacking Water Hydra (γνωστή και ως DarkCasino) με οικονομικά κίνητρα έχει επίσης εκμεταλλευτεί μια άλλη παράκαμψη MotW (CVE-2024-21412) σε επιθέσεις που στοχεύουν σε κανάλια Telegram συναλλαγών μετοχών και φόρουμ συναλλαγών forex με το DarkMe Remote Access trojan (RAT).