CVE-2025-0411
7-Zip 7-Zip
2025-02-06
7-Zip contains a protection mechanism failure vulnerability that allows remote attackers to bypass the Mark-of-the-Web security feature to execute arbitrary code in the context of the current user.
Технический анализ и план устранения
Суть уязвимости
CVE-2025-0411 представляет собой критический недостаток в механизме защиты архиватора 7-Zip. Проблема заключается в некорректной обработке атрибута Mark-of-the-Web (MotW) при извлечении файлов из архивов.
В штатном режиме Windows помечает файлы, скачанные из интернета, специальной меткой (Zone.Identifier). Это заставляет систему выводить предупреждение перед запуском исполняемого кода и активирует «защищенный просмотр» в офисных приложениях. Из-за ошибки в логике 7-Zip, при распаковке определенных типов архивов эта метка не переносится на извлеченные файлы. Это позволяет злоумышленникам доставлять вредоносное ПО в обход политик безопасности (например, SmartScreen), выполняя произвольный код в контексте текущего пользователя.
Как исправить
Единственным надежным способом устранения уязвимости является обновление 7-Zip до версии 24.09 или выше, в которой логика сохранения зон безопасности была исправлена.
Обновление вручную: 1. Скачайте актуальный установщик с официального сайта (7-zip.org). 2. Запустите установку поверх текущей версии.
Обновление через пакетный менеджер Winget:
winget upgrade 7zip.7zip
Проверка установленной версии:
(Get-Item "C:\Program Files\7-Zip\7z.exe").VersionInfo.ProductVersion
Временные меры
Если немедленное обновление невозможно, рекомендуется применить следующие компенсирующие меры контроля:
1. Использование альтернативного распаковщика: Используйте встроенный проводник Windows (File Explorer) для работы с ZIP-архивами, так как он корректно обрабатывает MotW.
2. Блокировка запуска файлов из временных папок: Настройте политики AppLocker или Windows Defender Application Control (WDAC), чтобы запретить выполнение исполняемых файлов из путей, куда 7-Zip обычно извлекает временные данные.
3. Принудительная проверка MotW через PowerShell: Если вы уже скачали архив и сомневаетесь в его безопасности, проверьте наличие метки вручную перед распаковкой:
Get-Item "path_to_archive.7z" -Stream "Zone.Identifier"
4. Настройка вложений в почтовом шлюзе (SEG):
Настройте правила на почтовом сервере для блокировки или карантина архивов с расширениями .7z, .rar и .zip, содержащих исполняемые файлы, до момента полного обновления парка машин.