Kwetsbaarheid in 7-Zip sinds september actief misbruikt bij aanvallen

[Captain Kirk]

Een kwetsbaarheid in de populaire archiveringssoftware 7-Zip is sinds vorig jaar september actief misbruikt bij aanvallen, toen er nog geen beveiligingsupdate beschikbaar was om het probleem te verhelpen. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het beveiligingslek (CVE-2025-0411) maakt het mogelijk om het Mark-of-the-Web te omzeilen, wat kan leiden tot het uitvoeren van willekeurige code op het systeem van de gebruiker.

De kwetsbaarheid werd afgelopen november door 7-Zip via versie 24.09 verholpen, maar het bestaan van de kwetsbaarheid werd pas eind januari dit jaar bekendgemaakt. Nu laat antivirusbedrijf Trend Micro weten dat CVE-2025-0411 sinds september vorig jaar bij aanvallen is ingezet. Mark-of-the-Web (MOTW) is een beveiligingsfeature van Windows die ervoor zorgt dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien.

Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. De kwetsbaarheid in 7-Zip doet zich voor bij het verwerken van archiefbestanden. Wanneer 7-Zip bestanden uit een speciaal geprepareerd archiefbestand uitpakt dat van de MOTW-tag is voorzien, wordt het Mark-of-the-Web niet aan de uitgepakte bestanden toegekend.

"Een aanvaller kan deze kwetsbaarheid gebruiken om willekeurige code in de context van de huidige gebruiker uit te voeren", aldus securitybedrijf ZDI dat het probleem rapporteerde. ZDI is onderdeel van Trend Micro. Bij de aanvallen ontvingen doelwitten een malafide zip-bestand. Dit bestand bevatte weer een ander zip-bestand. De aanvallers maakten echter gebruik van een 'homoglyph' aanval, waardoor het leek om een .doc-bestand te gaan. Dit zip-bestand bevatte een url-bestand dat naar een ander zip-bestand wees. Het zip-bestand bevatte een malafide bestand eindigend op .pdf.exe. Windows laat standaard geen bestandsextensies zien, waardoor gebruikers zouden kunnen denken dat het om een pdf-bestand gaat. De aanvallers maakten ook gebruik van een pdf-icoon voor dit bestand.

Het exe-bestand installeert de uiteindelijke malware op het systeem waarmee de aanvallers volledige controle krijgen. Trend Micro benadrukt dat het soort archiefbestand niet uitmaakt om misbruik van de kwetsbaarheid te maken. De malafide archiefbestanden werden via al eerder gecompromitteerde e-mailaccounts verstuurd. De virusbestrijder zegt dat het beveiligingslek tegen organisaties in Oekraïne is misbruikt, maar dat er een grote kans is dat ook andere organisaties door dezelfde aanvallers zijn aangevallen. Gebruikers wordt aangeraden naar de laatste versie van 7-Zip te updaten.

 

bron: https://www.security.nl