PoC for 7-Zip CVE-2025-0411 Lets Attackers Bypass MotW and Run Malicious Code
2025/01/26 SecurityOnline — 7-Zip ファイル・アーカイバに存在する深刻な脆弱性 CVE-2025-0411 (CVSS:7.0) に対する PoC エクスプロイトが、セキュリティ研究者である Dhmos Funk により公開された。この脆弱性の悪用に成功した攻撃者は、Windows の Mark of the Web (MotW) セキュリティ機能を回避し、ネストされたアーカイブから悪意のファイルを抽出し、ユーザーのシステム上でのコード実行の可能性を手にする。
7-Zip は、セキュリティ強化のために、2022年の時点で MotW のサポートを開始している。この機能は、ダウンロードしたアーカイブから抽出されたファイルに対してフラグを追加し、そのファイルが信頼できない可能性があることを、OS や App に対して警告する。この警告により、ダウンロードされたファイルを開こうとするユーザーに対して、注意が促される。
その 7-Zip のアーカイブ・ファイルの処理に、MotW に関連する欠陥があることを、セキュリティ研究者である Peter Girnus が発見した。
つまり、アーカイブからファイルを抽出する際に、MotW フラグを付けるべきファイルが存在しても、それを 7-Zip は伝播できない。したがって、攻撃者が悪意のアーカイブを作成し、そこに MotW フラグが付けられたとしても、7-Zip による抽出が行われると、MotW フラグは消えてしまうため、ユーザーに対する警告も行われなくなる。
Trend Micro は、「この問題は、アーカイブされたファイルの処理に存在する。つまり、細工されたアーカイブからファイルを抽出する場合に、7-Zip は Mark-of-the-Web を伝播しない。したがって、この脆弱性を悪用する攻撃者は、カレント・ユーザーのコンテキストで、任意のコードを実行できる」と説明している。
先日にセキュリティ研究者の Dhmos Funk が公開したのは、この脆弱性 CVE-2025-0411 を武器化するための PoC エクスプロイトである。それによる攻撃は、以下のな手順に従って行われる。
- ペイロードの作成:最初に攻撃者は、悪意のファイルを取り込んだ、二重圧縮アーカイブを作成する。
- 配信メカニズム:このアーカイブは、MediaFire などのファイル共有プラットフォームにアップロードされ、フィッシング・メールで配布される。
- 実行:それらのファイルをダウンロードした被害者が、脆弱なバージョンの 7-Zip をもちいて解凍すると、MotW フラグがバイパスされ、Windows セキュリティ警告をトリガーすることなく、悪意のペイロードが実行される。
この PoC は、シェルコード・インジェクションを利用してペイロードを実行する。ただし、悪意のないプログラム (calc.exe) を起動することで、エクスプロイトを実証している。この手法は、危険なマルウェアの配信においても、簡単に利用できる可能性を示している。
この脆弱性は、7-Zip のバージョン 24.09 以下に影響を及ぼす。ユーザーに対して強く推奨されるのは、可能な限り早急に最新のパッチ・バージョンに更新し、リスクを軽減することである。
それまでの一時的な緩和策として必要になるのは、疑わしいソースからのファイルを、特に圧縮アーカイブを開くときに、細心の注意を払うことである。さらに、オペレーティング・システムとセキュリティ・ソフトウェアが最新のバージョンであり、悪意のファイルを検出してブロックできることが確認されると、さらに保護が強化される。
この脆弱性の第一報は、2025/01/20 の「7-Zip の脆弱性 CVE-2025-0411 が FIX:Mark-of-the-Web フラグの欠落」です。そして、PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。ご利用のユーザーさんは、十分に、お気をつけください。よろしければ、7-Zip で検索も。ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.