7-Zip 文件壓縮工具近期被曝存在一個高危安全漏洞,允許攻擊者繞過 Windows 的「Mark of the Web (MotW)」安全機制,在提取惡意文件時執行任意代碼。該漏洞已被分配編號 CVE-2025-0411。
MotW 機制如何保護用戶?
自 2022 年 6 月起,7-Zip 從 22.00 版本開始支援 MotW。這一功能透過在下載的檔案上添加特殊的「Zone.Id」數據流,提醒操作系統、瀏覽器及其他應用程式文件可能來自不受信任的來源。該機制會:
- 在開啟風險文件時顯示安全警告;
- 促使 Microsoft Office 進入「保護視圖」模式,自動啟用只讀並禁用所有巨集功能。
CVE-2025-0411 漏洞詳情
根據 Trend Micro 的報導,CVE-2025-0411 漏洞存在於 7-Zip 對嵌套壓縮檔的處理過程中。當提取包含 MotW 標記的惡意壓縮檔時,7-Zip 並未將該標記傳遞至提取後的檔案,導致安全警告失效。
攻擊者可利用此漏洞誘導目標用戶訪問惡意網站或開啟惡意檔案,進而執行代碼攻擊。「該漏洞需要用戶交互才能被利用,例如訪問惡意頁面或打開惡意檔案。」Trend Micro 表示。
已釋出的修補程式
7-Zip 的開發者 Igor Pavlov 已於 2024 年 11 月 30 日發佈 7-Zip 24.09 版本修復此問題。他指出:「7-Zip 文件管理器未能對嵌套壓縮檔中提取的文件傳遞 Zone.Identifier 資料流。」該漏洞目前已解決。
用戶應立即更新
由於 7-Zip 不支援自動更新,許多用戶仍可能在使用易受攻擊的舊版本。建議所有用戶立即升級至最新版本,以避免潛在威脅。
類似的 MotW 漏洞曾多次被惡意軟體利用。2024 年 6 月,Microsoft 修復了 CVE-2024-38213 漏洞,而該漏洞曾被 DarkGate 惡意軟體用於繞過 SmartScreen 保護,將惡意安裝程式偽裝成 Apple iTunes 或 NVIDIA 等合法軟體進行攻擊。此外,金融黑客組織 Water Hydra 亦曾利用 CVE-2024-21412 攻擊股票交易和外匯論壇。
