7-Zip 文件压缩工具近期被曝存在一个高危安全漏洞,允许攻击者绕过 Windows 的「Mark of the Web (MotW)」安全机制,在提取恶意文件时执行任意代码。 该漏洞已被分配编号 CVE-2025-0411。
MotW 机制如何保护用户?
自2022年6月起,7-Zip从22.00版本开始支持MotW。 这一功能通过在下载的文件上添加特殊的「Zone.Id」数据流,提醒操作系统、浏览器及其他应用程序文件可能来自不受信任的来源。 该方案会 :
- 在开启风险文件时显示安全警告;
- 促使 Microsoft Office 进入「保护视图」模式,自动启用只读并禁用所有宏功能。
CVE-2025-0411 漏洞详情
根据 Trend Micro 的报道,CVE-2025-0411 漏洞存在于 7-Zip 对嵌套压缩文件的处理过程中。 当提取包含 MotW 标记的恶意压缩文件时,7-Zip 并未将该标记传递至提取后的文件,导致安全警告失效。
攻击者可利用此漏洞诱导目标用户访问恶意网站或开启恶意文件,进而执行代码攻击。 「该漏洞需要用户交互才能被利用,例如访问恶意页面或打开恶意文件。」Trend Micro 表示。
已释出的修补程序
7-Zip 的开发者Igor Pavlov已于2024年11月30日发布7-Zip 24.09版本修复此问题。 他指出:「7-Zip 文件管理器未能对嵌套压缩文件中提取的文件传递 Zone.Identifier 资料流。」该漏洞目前已解决。
用户应立即更新
由于 7-Zip 不支持自动更新,许多用户仍可能在使用易受攻击的旧版本。 建议所有用户立即升级至最新版本,以避免潜在威胁。
类似的 MotW 漏洞曾多次被恶意软件利用。 2024年6月,Microsoft修复了CVE-2024-38213漏洞,而该漏洞曾被DarkGate恶意软件用于绕过SmartScreen保护,将恶意安装程序伪装成AppleiTunes或NVIDIA等合法软件进行攻击。 此外,金融黑客组织Water Hydra亦曾利用CVE-2024-21412攻击股票交易和外汇论坛。
