Ich hole mal ein Thema hoch, was Nutzer des Archivprogramms 7-ZIP betrifft. Seit Januar 2025 ist die Schwachstelle CVE-2025-0411 in 7-ZIP bekannt. Diese ermöglicht einem Remote-Angreifer unter Windows die Mark of the Web-Kennung als Schutzfunktion zu umgehen und wird in Angriffen aktiv ausgenutzt.
Anzeige
7-ZIP Schwachstelle CVE-2025-0411
Bei CVE-2025-0411 handelt es sich um eine 7-Zip Mark-of-the-Web Bypass-Schwachstelle, die seit dem 25. Januar 2025 bekannt ist und von der Zero Day Initiative entdeckt wurde.
Über diese Sicherheitslücke können Remote-Angreifer den Mark-of-the-Web-Schutzmechanismus von Windows in betroffenen Installationen von 7-Zip umgehen. Um diese Sicherheitslücke auszunutzen, ist eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss.
Die Schwachstelle ergibt sich aus der Handhabung von archivierten Dateien. Beim Extrahieren von Dateien aus einem manipulierten Archiv, das das Mark-of-the-Web trägt, überträgt 7-Zip das Mark-of-the-Web nicht auf die extrahierten Dateien. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen.
Die Zero Day Initiative (ZDI) hat den Sicherheitshinweis ZDI-25-045 dazu veröffentlicht. Die Schwachstelle wurde zum 1. Oktober 2024 an den 7-ZIP-Entwickler berichtet und ist in der 7-ZIP-Version 24.09 geschlossen. Zum 19. Januar 2025 wurde der Sachverhalt veröffentlicht. Hinweise zur Entdeckung der Ausnutzung dieser Schwachstelle und zur Abschwächung finden sich hier.
Anzeige
Angriffe und weitere Informationen
Das Thema ist mir die Tage erneut durch nachfolgenden Tweet untergekommen. Jemand hat das Ganze auf GitHub im Post CVE-2025-0411-7-Zip-Mark-of-the-Web-Bypass näher dokumentiert.
Zum 27. Januar 2025 hat das britische NHS die Warnung Active Exploitation Reported for CVE-2025-0411 in 7-Zip zu dieser Schwachstelle herausgegeben und schrieb, dass diese in Kampagnen aktiv ausgenutzt werde. Ein zweiter Bericht erschien am 4. Februar 2025 von Trend Micro und besagt, dass Organisationen in der Ukraine über die Schwachstelle angegriffen wurden.
In obigem Screenshot greift ein weiterer Tweet von Nicolas Krassas eine zweite Schwachstelle CVE-2024-11477 in 7-Zip auf. Die 7-Zip ZSTD Buffer Overflow-Schwachstelle wird in diesem Artikel beschrieben. Der Angriffsvektor kann nur durch die Verwendung von 7-Zip zur Dekomprimierung einer speziell gestalteten Datei in den Versionen 24.06 und 24.05 ausgenutzt werden – mit der 7-ZIP-Version 24.09 ist auch diese Schwachstelle geschlossen.
Anzeige
Naja,
das Mark-of-the-Web gibt es eh nur bei NTFS (und seit Windows 2012R2 auch bei ReFS).
Das ist ein Eintrag im ADS (alternate data streams) mit dem Namen zone.identifier.
Nutzt man z.B. FAT oder exFAT, gibt es kein Mark-of-the-Web, denn diese Dateisysteme unterstützen kein ADS.
Und FAT und exFAT werden i.d.R. bei Wechseldatenträgern wie SD-Karten, USB-Sticks etc. verwendet. Kopiert man Dateien mit Mark-of-the-Web auf solche Datenträger, ist das Mark-of-the-Web weg, da es mangels Unterstützung durch das Dateisystem nicht gespeichert werden kann.