WinZip の脆弱性 CVE-2025-33028 に要注意:MotW バイパスとパッチ未適用

CVE-2025-33028: WinZip Flaw Exposes Users to Silent Code Execution via MotW Bypass, No Patch

2025/04/22 SecurityOnline — 人気のファイル圧縮ユーティリティ WinZip に発見されたセキュリティ上の欠陥により、数百万人のユーザーがサイレント・コード実行の危険に直面している。この脆弱性 CVE-2025-33028 を悪用する攻撃者は、細工されたアーカイブを介して悪意のペイロードを配信し、Mark-of-the-Web (MotW) バイパスを達成するため、通常の Windows セキュリティ・プロンプトをトリガーすることなく被害者を欺ける。

上記の Mark-of-the-Web (MotW) とは、インターネットからダウンロードされたファイルに対して、それに特化した代替データ・ストリームでフラグを付けるという、Windows におけるセキュリティ機能のことである。このフラグにより​​、特にマクロや実行ファイルを取り込んだファイルが開かれるときに、それらを実行する前に、Windows が警告を発する。つまり、フィッシングに対して、また、マルウェアが取り込まれたドキュメントに対して機能する、第一線の重要な防御策となる。

しかし、CVE-2025-33028 が悪用されると、この安全策が全く機能しなくなる。

開示された脆弱性 CVE-2025-33028 の情報によると、インターネットからダウンロードしたアーカイブを開く際に、抽出されたファイルに対して、WinZip は Mark-of-the-Web 保護を適用できないとのことだ。

具体的に言うと、悪意のアーカイブ (例:”.zip”/”.7z”) をダウンロードしたユーザーが、WinZip バージョン 29.0 (64-bit) を用いて解凍すると、そこに取り込まれているファイルに対する MotW タグが失われてしまう。したがって、危険なマクロやスクリプトが埋め込まれていても、Windows は安全なファイルとして認識してしまう。

攻撃者は、この脆弱性を以下のような手順で悪用できる:

  1. 悪意のアーカイブの作成:武器化された .docm (マクロが有効な Word 文書) などの、有害なファイルを取り込んだ悪意のアーカイブ・ファイル (例:”.zip”/”.7z”) を作成する。
  2. 配信と MotW タグの付与:このアーカイブは配信され、インターネットからダウンロードされる。その際に、このアーカイブには Mark-of-the-Web タグが付与される。
  3. WinZip による解凍:ダウンロードしたアーカイブを WinZip で開くユーザーは、そのコンテンツを解凍する。
  4. MotW の削除:WinZip は、解凍された悪意のファイルから、MotW タグを削除する。
  5. 悪意のコード実行:解凍されたファイルは、信頼できるローカル・ファイルとして扱われるため、ファイル内の悪意のマクロやスクリプトが、セキュリティ警告をトリガーすることなく実行されてしまう。

この脆弱性により、深刻な影響が引き起こされる可能性がある:

  • コード実行:被害者のシステム上で、攻撃者は任意のコード実行を達成し、マルウェアのインストールやマシンの制御などを可能にするかもしれない。
  • 権限昇格:この脆弱性を悪用する攻撃者は、ユーザー・コンテキスト内で昇格した権限を取得し、通常では許可されない操作を試行できる。
  • 情報漏洩:侵害したシステムに保存されている機密データに対して、攻撃者による不正アクセスを許し、情報漏洩などにいたる可能性が生じる。

この記事の執筆時点では、WinZip Computing からの、公式の修正プログラムはリリースされていない。したがって、ユーザーに対して強く推奨されるのは、以下の各項目となる:

  • 信頼できないアーカイブを、WinZip では開かない。
  • MotW に準拠した代替アーカイブ・ツール (Windows 内蔵の解凍ツールなど) を使用する。
  • 悪意のマクロ実行を検出できる、エンドポイント保護を導入する。

WinZip に、ユーザーを守るはずの防御ラインである MotW をバイパスする深刻な脆弱性が発見されました。現時点でパッチは提供されておらず、非常に厳しい状況です。ユーザーの皆さまは、十分にご注意ください。また、今年に入って他製品でも同様の MotW バイパス脆弱性がいくつか見つかっています。よろしければ、以下の関連記事を、WinZip で検索MoTW で検索と併せて ご参照ください。

2025/04/03:WinRAR MotW バイパス CVE-2025-31334 が FIX
2025/01/26:7-Zip MotW バイパス脆弱性:PoC が提供
2024/11/22:WinZip MoTW バイパス CVE-2024-8811 が FIX