7-Zip零日漏洞被俄罗斯网络犯罪组织利用

研究人员最近发现了一个7-Zip压缩工具中的零日漏洞，该漏洞在俄罗斯对乌克兰的持续入侵中被积极利用。该漏洞允许俄罗斯网络犯罪组织绕过Windows的“网络标记”（Mark of the Web，简称MotW）保护机制，该机制旨在限制从互联网下载的文件执行。

漏洞工作原理

MotW通过在从互联网或网络共享下载的所有文件上添加“Zone.Identifier”标签（NTFS备用数据流，形式为ZoneID=3）来工作，使文件受到Windows Defender SmartScreen的额外审查，并限制其执行方式或时间。

7-Zip漏洞允许俄罗斯网络犯罪组织绕过这些保护。攻击者通过将可执行文件嵌入一个压缩包，然后将该压缩包嵌入另一个压缩包来利用该漏洞。外层压缩包带有MotW标签，但内层压缩包没有。该漏洞被追踪为CVE-2025-0411，已在2023年11月底发布的24.09版本中修复。

漏洞根本原因

Trend Micro研究员Peter Girnus指出，CVE-2025-0411的根本原因是，在24.09版本之前，7-Zip未正确将MotW保护传播到双重封装压缩包的内容中。这使得威胁行为者可以制作包含恶意脚本或可执行文件的压缩包，这些文件不会受到MotW保护，从而使Windows用户容易受到攻击。

攻击手法

为了更好地伪装攻击，可执行文件的扩展名使用了同形异义字（homoglyphs）。这些字符不属于ASCII标准，尽管它们看起来与某些ASCII字符相同或相似。例如，西里尔字母С看起来与ASCII字符C相同，但实际上与它无关，因为每个字符都属于完全不同的编码方案。黑客多年来一直使用同形异义字来欺骗敏感网站的域名。

攻击者利用7-Zip零日漏洞，使用同形异义字使可执行文件看起来像文档文件。双重压缩的文件通过来自真实的乌克兰政府机构的被入侵账户发送的电子邮件附件传播。

受攻击的机构

受攻击的机构包括：

• 乌克兰国家执行服务（SES）——司法部
• 扎波罗热汽车制造厂（PrJSC ZAZ）——汽车、公交车和卡车制造商
• 基辅公共交通服务（Kyivpastrans）
• SEA公司——家用电器、电气设备和电子产品制造商
• Verkhovyna地区国家管理局——伊万诺-弗兰科夫斯克州行政机构
• VUSA——保险公司
• 第聂伯市区域药房
• 基辅供水公司（Kyivvodokanal）
• Zalishchyky市议会

建议

任何使用7-Zip的用户，尤其是在Windows上，应确保使用最新版本24.09，以防止此类攻击。