Ich hole mal ein Thema hoch, was Nutzer des Archivprogramms 7-ZIP betrifft. Seit Januar 2025 ist die Schwachstelle CVE-2025-0411 in 7-ZIP bekannt. Diese ermöglicht einem Remote-Angreifer unter Windows die Mark of the Web-Kennung als Schutzfunktion zu umgehen und wird in Angriffen aktiv ausgenutzt.
7-ZIP Schwachstelle CVE-2025-0411
Bei CVE-2025-0411 handelt es sich um eine 7-Zip Mark-of-the-Web Bypass-Schwachstelle, die seit dem 25. Januar 2025 bekannt ist und von der Zero Day Initiative entdeckt wurde.
Über diese Sicherheitslücke können Remote-Angreifer den Mark-of-the-Web-Schutzmechanismus von Windows in betroffenen Installationen von 7-Zip umgehen. Um diese Sicherheitslücke auszunutzen, ist eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss.
Die Schwachstelle ergibt sich aus der Handhabung von archivierten Dateien. Beim Extrahieren von Dateien aus einem manipulierten Archiv, das das Mark-of-the-Web trägt, überträgt 7-Zip das Mark-of-the-Web nicht auf die extrahierten Dateien. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen.
Die Zero Day Initiative (ZDI) hat den Sicherheitshinweis ZDI-25-045 dazu veröffentlicht. Die Schwachstelle wurde zum 1. Oktober 2024 an den 7-ZIP-Entwickler berichtet und ist in der 7-ZIP-Version 24.09 geschlossen. Zum 19. Januar 2025 wurde der Sachverhalt veröffentlicht. Hinweise zur Entdeckung der Ausnutzung dieser Schwachstelle und zur Abschwächung finden sich hier.
Angriffe und weitere Informationen
Das Thema ist mir die Tage erneut durch nachfolgenden Tweet untergekommen. Jemand hat das Ganze auf GitHub im Post CVE-2025-0411-7-Zip-Mark-of-the-Web-Bypass näher dokumentiert.
Zum 27. Januar 2025 hat das britische NHS die Warnung Active Exploitation Reported for CVE-2025-0411 in 7-Zip zu dieser Schwachstelle herausgegeben und schrieb, dass diese in Kampagnen aktiv ausgenutzt werde. Ein zweiter Bericht erschien am 4. Februar 2025 von Trend Micro und besagt, dass Organisationen in der Ukraine über die Schwachstelle angegriffen wurden.
In obigem Screenshot greift ein weiterer Tweet von Nicolas Krassas eine zweite Schwachstelle CVE-2024-11477 in 7-Zip auf. Die 7-Zip ZSTD Buffer Overflow-Schwachstelle wird in diesem Artikel beschrieben. Der Angriffsvektor kann nur durch die Verwendung von 7-Zip zur Dekomprimierung einer speziell gestalteten Datei in den Versionen 24.06 und 24.05 ausgenutzt werden – mit der 7-ZIP-Version 24.09 ist auch diese Schwachstelle geschlossen.
MVP: 2013 – 2016
Naja,
das Mark-of-the-Web gibt es eh nur bei NTFS (und seit Windows 2012R2 auch bei ReFS).
Das ist ein Eintrag im ADS (alternate data streams) mit dem Namen zone.identifier.
Nutzt man z.B. FAT oder exFAT, gibt es kein Mark-of-the-Web, denn diese Dateisysteme unterstützen kein ADS.
Und FAT und exFAT werden i.d.R. bei Wechseldatenträgern wie SD-Karten, USB-Sticks etc. verwendet. Kopiert man Dateien mit Mark-of-the-Web auf solche Datenträger, ist das Mark-of-the-Web weg, da es mangels Unterstützung durch das Dateisystem nicht gespeichert werden kann.
Ich finde es ein wenig dick aufgetragen zu behaupten, dass hier 7zip exploited wurde, wenn letztlich der Endbenutzer dazu gebracht wird, obskure Dateien mit verschleierter dateiendung in verschachtelten Archiven zu öffnen. Wenn das funktioniert, funktionieren vermutlich tausend andere Wege auch.
Mit einem anderen Packer funktioniert DAS eben nicht! Ergo, nicht dick aufgetragen,
und die Lücke wurde ja auch von den Machern von 7-Zip beseitigt.
Das Verhalten wurde geändert. Und ich gehöre zu den Leuten, die eigentlich gezielt Sachen entpacken und dann eigentlich kein Motw mehr wollen.
Letztendlich war die Attacke nicht 7zip sonder eher Social Engineering auch wenn 7zip hier evt. mitgespielt hat.
Aber im anderen Kommentar wurde bereits erwähnt, dass das je nach Filesystem nicht geht und auch Thunderbird hat das Motw gar nicht geschrieben soweit ich mich errinnere, dann hätte 7zip auch beim entpacken nichts übernehmen können.
Das ganze Motw steht auf ziemlich dünnem Eis.
Bezeichnend ist eigentlich nur, dass das immer noch ausgenutzt werden kann, weil die Leute ihre Software nicht aktuell halten. In (größeren) Firmen sollte das eigentlich kein Problem sein, da hat man hoffentlich eine Deploymentsoftware mit Versionsüberwachung, die Updates mehr oder weniger zeitnah automatisiert verteilt. Aber auch kleinere Betriebe und Privatleute können das völlich automatisiert erledigen lassen, am primitivsten ist noch, einen wöchentlichen (reicht vollkommen) automatischen Task in den Scheduler zu packen, der als Benutzer "SYSTEM" den Befehl "winget upgrade –all –silent" regelmäßig ausführt, damit ist schon einiges abgedeckt. Außerdem kann man sich den PatchMyPC HomeUpdater installieren, der einem über 500 Freeware/Opensource-Softwarepakete automatisiert im Hintergrund aktualisiert. Dann noch, nicht ganz so zuverlässig (Updates schlagen öfters leider fehl) der auch kostenlose UniGetUI, der neben winget noch diverse andere Installationsquellen (sogar Powershell-Galery) nutzt. Und auch von Microsoft gibts eine Neuigkeit, diverse andere Portale berichten aktuell, dass der MS-Store bald auch normale Win32 Applikationen aktualisieren kann. Man kann das alles auch parallel nebeneinander installieren/nutzen, man muss nur aufpassen, dass nicht zwei oder mehr Tools gleichzeitig aktualisieren, sondern gestaffelt nacheinander, sonst kanns beim Updaten der Software zu Konflikten kommen.
Übrigens, es wäre schön gewesen, wenn im ersten Absatz des Artikels gleich eingeflossen wäre, dass es um 7Zip in veralteten Versionen geht, so musste ich erst komplett bis ganz runter lesen, um aufatmen zu können, dass hier nichts mehr betroffen ist, denn unser Deploymanet hat das 7Zip-Update schon vor langer Zeit nach Erstmeldung der Lücke überall aktualisiert.
> Bezeichnend ist eigentlich nur, dass das immer noch ausgenutzt werden kann, weil die Leute ihre Software nicht aktuell halten. In (größeren) Firmen sollte das eigentlich kein Problem sein, da hat man hoffentlich eine Deploymentsoftware mit Versionsüberwachung, die Updates mehr oder weniger zeitnah automatisiert verteilt.
Da irrst Du Dich aber ganz gewaltig. Es ist leider so, daß auch in (größeren) Firmen die Software nicht ganz aktuell ist. Kann ich aus eigener Erfahrung sagen, weil in unserem Konzern etliche LinuxServer mal aufgesetzt wurden und in Betrieb gegangen sind. Und danach *NIE* aktualisiert wurden. Ich habe nämlich einige dieser Linux-Server an der Backe. Aufgrund Konzernvorgabe bzw. unserer IT-Ausrichtung sollen diese Anwendungen auf MS Windows umgestellt werden. Natürlich sind die Personen, welche die Server damals aufgesetzt haben nicht mehr im Hause. Dokumentation? – *FEHLANZEIGE!*
Somit muss ich mich mit den Herstellern beschäftigen. Da diese die Systeme natürlich auch wieder neu einrichten müssen. Wozu diese natürlich kein großes Interesse haben. Warum auch, läuft doch.
Und es sind nicht grade nur eine Handvoll Linuxserver.
Mein Mitleid sei mit dir, fehlende Doku kenne ich auch. Die Kollegen die sich in meinem Laden um die 500+ Linux-Server kümmern, kommen auch nicht hinterher, Zeitdruck beim Aufsetzen und schon wieder nächstes Projekt und schwupps fehlt die Doku oder ist unvollständig, soll "später" ergänzt werden, wenn die Details schon wieder vergessen sind… Da Büchsen teils online sind, müssen wir die aber aktuell halten. Es gibt ein Monitoring, welches pro Maschine die fälligen Updates anzeigt und der Kollege, der meistens patcht, sagt, es ist zum heulen, wenn er diese Liste von oben nach unten durcharbeitet, ist er noch nicht unten angekommen, sind oben schon wieder Updates verfügbar. Das ist der Vorteil von einem einheitlichen, planbaren Patchday. Und dann gibts da noch die Sonderlocken, wo nicht das Paket aus der Distribution genommen wird, sondern nur der neueste Quellcode selbst kompiliert gut genug für diese Applikation ist, folglich ist dann auf einem Applikationsserver für Anwendung X auch ein komplettes Entwicklungssystem mit drauf…
Auch bei Linux kann man planen. Das wäre ja kein Problem. Schlimmer noch ich habe etliche Linux Server entdeckt, welche auf dem Stand von 2016 (sic!9 sind!
Den CISO darauf angesprochen meint der lapidar, dann müssen sich die Serververantwortliche darum kümmern. Ey der Depp weiß ganz genau, daß diese Personen nicht mehr im Hause sind. Aufgrund der Anwendungen (HR Software) bin ich nun dafür zuständig. Okay, sehe ich im Prinzip ein. Mir aber einen Strick daraus zu drehen und mit Abmahnung drohen – 0Da hört für mich der Spaß auf!
Ich war nicht nur beim Betriebsrat, sondern auch gleich beim Rechtsanwalt, Arbeitsgericht und Bundesdatenschutz.
Seitdem brennt die Hütte. Und ja, ich habe jetzt die Arschkarte, weil ich das gemeldet habe. Und sowohl vorm Betriebsrat als auch vom Arbeitsgericht Recht bekommen habe. Und der Datenschützer haben dem Konzern auch einen reingewürgt. Selber dran schuld.
Ich lasse mich nicht verarschen und verheizen. Und meine Projekte / Zuständigkeiten sind sauber.
Wenn die Dinger an vorderster Front stehen, kannst du wenig planen, wenn da z.B. ein kritisches Sicherheitsupdsate für den apache auftaucht. Viele Stunden hast du da je nach Art der Lücke nicht.
Auch wenn es sich hier um eine (bereits geschlossene) Sicherheitslücke handelt, ist der Einsatz von 7-Zip, besonders in Unternehmen, sowieso kritisch zu sehen, weil der Entwickler in der Vergangenheit schon mehrfach mit Ignoranz z.B. bezüglich der Aktivierung von Sicherheitsfunktionen (über Compiler-Flags!) aufgefallen ist!
https://www.borncity.com/blog/2018/02/20/warnung-auf-7-zip-verzichten/
7zip 24.09 hat "DEP enabled permanent" bei mir auf Windows 11 x64
Lies mal den verlinkten Beitrag, denn es ging mir mehr darum, dass es eben jahrelang nicht aktiviert wurde ;)