Μια ευπάθεια στο 7-Zip, που επιτρέπει την παράκαμψη της λειτουργίας ασφαλείας των Windows (MotW), αξιοποιήθηκε σε zero-day επιθέσεις από Ρώσους χάκερ, ήδη από τον Σεπτέμβριο του 2024.
Δείτε επίσης: Ευπάθεια zero-day της Zyxel επιτρέπει εκτέλεση αυθαίρετων εντολών

Ερευνητές της Trend Micro αποκάλυψαν ότι το συγκεκριμένο κενό ασφαλείας αξιοποιήθηκε σε κακόβουλες καμπάνιες του λογισμικού SmokeLoader, οι οποίες είχαν ως στόχο την ουκρανική κυβέρνηση καθώς και ιδιωτικούς οργανισμούς στη χώρα.
Το Mark of the Web (MoTW) είναι μια λειτουργία ασφαλείας των Windows που έχει σχεδιαστεί για να προειδοποιεί τους χρήστες όταν ένα αρχείο προέρχεται από μη αξιόπιστες πηγές. Μέσω μιας πρόσθετης προτροπής, ζητά επιβεβαίωση πριν την εκτέλεση του αρχείου. Η παράκαμψη του MoTW, όπως στην περίπτωση του 7-Zip μπορεί να επιτρέψει την εκτέλεση κακόβουλων αρχείων στον υπολογιστή του χρήστη χωρίς καμία προειδοποίηση, εκθέτοντας το σύστημα σε κινδύνους.
Κατά τη λήψη εγγράφων και εκτελέσιμων αρχείων από τον Ιστό ή λαμβανόμενα ως συνημμένο email, τα Windows προσθέτουν μια ειδική εναλλακτική ροή δεδομένων «Zone.Id» που ονομάζεται Mark-of-the-Web (MoTW) στο αρχείο. Όταν επιχειρούν να ανοίξουν ένα ληφθέν αρχείο, τα Windows θα ελέγξουν εάν υπάρχει MoTW και εάν ναι, θα εμφανίσουν πρόσθετες προειδοποιήσεις στον χρήστη, ρωτώντας εάν είναι βέβαιοι ότι επιθυμούν να εκτελέσουν το αρχείο. Ομοίως, όταν ανοίγετε ένα έγγραφο στο Word ή το Excel με σημαία MoTW, το Microsoft Office θα δημιουργήσει πρόσθετες προειδοποιήσεις και θα απενεργοποιήσει τις μακροεντολές.
Τα χαρακτηριστικά ασφαλείας του Mark of the Web αποτρέπουν την αυτόματη εκτέλεση επικίνδυνων αρχείων, κάτι που συχνά ωθεί τους φορείς απειλών να αναζητούν τρόπους παράκαμψης του MoTW, ώστε τα κακόβουλα αρχεία τους να εκτελούνται αυτόματα. Επί σειρά ετών, οι ειδικοί της κυβερνοασφάλειας ζητούσαν την ενσωμάτωση υποστήριξης για το Mark of the Web στο 7-Zip. Τελικά, μόλις το 2022, αυτή η δυνατότητα προστέθηκε, καλύπτοντας μια σημαντική ανάγκη.
Δείτε ακόμα: Ivanti Zero-Day παραβιάζει το μητρώο τομέα του Ηνωμένου Βασιλείου
Η ομάδα Zero Day Initiative (ZDI) της Trend Micro εντόπισε για πρώτη φορά την ευπάθεια, η οποία καταγράφεται πλέον ως CVE-2025-0411, στις 25 Σεπτεμβρίου 2024. Το ελάττωμα παρατηρήθηκε σε επιθέσεις που πραγματοποιήθηκαν από Ρώσους παράγοντες απειλών, υπογραμμίζοντας την αυξανόμενη πολυπλοκότητα των κυβερνοεπιθέσεων.

Η παράκαμψη 7-Zip MotW χρησιμοποιείται σε επιθέσεις zero-day
Οι χάκερ χρησιμοποίησαν το CVE-2025-0411 χρησιμοποιώντας διπλά αρχειοθετημένα αρχεία για να εκμεταλλευτούν την έλλειψη κληρονομικότητας της σημαίας MoTW, με αποτέλεσμα την εκτέλεση κακόβουλου αρχείου χωρίς προειδοποιήσεις.
Τα ειδικά δημιουργημένα αρχεία αρχειοθέτησης στάλθηκαν σε στόχους μέσω ηλεκτρονικού “phishing” από παραβιασμένους λογαριασμούς της κυβέρνησης της Ουκρανίας για να παρακάμψουν τα φίλτρα ασφαλείας και να φαίνονται νόμιμα. Χρησιμοποιώντας τεχνικές ομογλυφικών, οι εισβολείς έκρυψαν τα ωφέλιμα φορτία τους μέσα στα αρχεία 7-Zip, κάνοντάς τα να φαίνονται αβλαβή έγγραφα Word ή PDF.
Αν και το άνοιγμα του γονικού αρχείου διαδίδει τη σημαία MoTW, το ελάττωμα CVE-2025-0411 έκανε τη σημαία να μην μεταδοθεί στα περιεχόμενα του εσωτερικού αρχείου, επιτρέποντας την απευθείας εκκίνηση κακόβουλων σεναρίων και εκτελέσιμων αρχείων.
Αυτό το τελευταίο βήμα ενεργοποιεί το ωφέλιμο φορτίο SmokeLoader, ένα dropper κακόβουλου λογισμικού που χρησιμοποιήθηκε στο παρελθόν για την εγκατάσταση info-stealers, trojans, ransomware ή τη δημιουργία backdoors για μόνιμη πρόσβαση.
Δείτε επίσης: Οι επιθέσεις zero-day του Ivanti διαδίδουν προσαρμοσμένο malware
Οι επιθέσεις zero-day είναι ένας από τους πιο σοβαρούς κινδύνους στον τομέα της κυβερνοασφάλειας. Συμβαίνουν όταν κακόβουλοι παράγοντες εκμεταλλεύονται άγνωστα κενά ασφαλείας σε λογισμικό ή λειτουργικά συστήματα, προτού οι προγραμματιστές έχουν την ευκαιρία να τα εντοπίσουν και να τα διορθώσουν. Αυτές οι επιθέσεις μπορεί να οδηγήσουν σε παραβίαση δεδομένων, κλοπή ευαίσθητων πληροφοριών ή ακόμα και διακοπή λειτουργίας συστημάτων, καθιστώντας τες ιδιαίτερα επικίνδυνες για οργανισμούς και ιδιώτες. Η ανίχνευση και η αντιμετώπισή τους απαιτούν προηγμένα συστήματα και αποτελεσματικές στρατηγικές ασφάλειας.
Πηγή: bleepingcomputer