7-Zip在2024年11月发布的24.09版当中,修补能绕过MotW防护机制的漏洞CVE-2025-0411,然而,由于这款解压缩软体并未内建自动更新机制,不少使用者可能因为仍在使用旧版而曝险,所以资安圈关注此事,另一个令人大家好奇的部分在于,CVE-2025-0411是如何被发现的?
这个星期ZDI透露他们之所以察觉,是因为俄罗斯骇客利用钓鱼邮件攻击乌克兰企业组织,过程曾运用这项漏洞,于受害电脑执行任意程式码,从而散布恶意软体。
【攻击与威胁】
上个月趋势科技旗下的漏洞悬赏专案Zero Day Initiative(ZDI)公布知名压缩软体7-Zip漏洞CVE-2025-0411,并指出攻击者有机会远端利用这项弱点,借由与使用者进行互动,引诱他们存取恶意网页或是档案触发,绕过Windows作业系统的Mark of the Web(MotW)防护机制,现在趋势科技公布这项漏洞的发现经过,并指出去年有人将其用于攻击乌克兰。
究竟ZDI如何发现这项漏洞?ZDI资深威胁研究员Peter Girnus表示,他们在去年9月25日察觉这项漏洞被实际用于攻击,俄罗斯骇客针对乌克兰政府机关与非政府组织下手,意图于受害电脑植入恶意程式载入工具SmokeLoader。对于骇客的动机,ZDI认为很可能与尚在进行的乌克兰战争有关。
在这起漏洞利用攻击行动里,骇客利用外流的电子邮件帐号,假冒乌克兰政府机关或是企业,对当地的企业组织发动攻击。这些电子邮件存在共通点,歹徒都挟带用来触发漏洞的压缩档附件。