7-Zip 文件压缩文档中存在一个高危漏洞，可导致攻击者绕过 MotW Windows 安全特性，从所嵌入的文档中提取恶意文件时在用户计算机上执行代码。

7-Zip 在2022年6月发布的版本22.00开始引入对 MotW 的支持，之后它在从所下载文档中提取的所有文件中加入 MotW 标记（特殊的 ‘Zone.Id’ 可选数据流）。这一标记通知操作系统、web浏览器和其它应用称，这些文件可能来自不可信来源，应当谨慎处理。

因此，当双击通过7-Zip 提取的风险文件时，用户将会收到告警称打开或运行此类文件可导致潜在危险行为，如在设备上安装恶意软件等。微软 Office 也会检查 MotW 标记，如找到则会在受保护视图中打开文档，自动启用只读模式并禁用所有宏。

然而，正如趋势科技在上周五发布的安全公告中提到的那样，CVE-2025-0411可导致攻击者绕过这些安全告警并在目标计算机上执行恶意代码。趋势科技提到，“该漏洞可导致远程攻击者绕过受影响7-Zip 上的 MotW 防护机制。由于目标必须访问恶意页面或打开恶意文件，因此利用该漏洞时需要用户交互。该漏洞位于对压缩文件处理的方式中。当从配有MotW 的构造文档中提取文件时，7-Zip 并不会将MotW复制到所提取的文件中。攻击者可利用该漏洞在当前用户上下文中执行任意代码。”

幸运的是，7-Zip的开发人员 Igor Pavlov 已在2024年11月30日发布7-Zip 24.09 版本修复该漏洞。Pavlov 表示，“7-Zip File Manager 并未向从所嵌入文档中提取的文件复制到Zone.Identifier 流。”

类似漏洞被用于部署恶意软件

然而，由于7-Zip并不具备自动更新特性，因此很多用户可能仍然运行易受攻击版本，从而易遭恶意软件感染。

鉴于此类漏洞经常被用于恶意攻击中，因此所有7-Zip用户应当尽快修复。例如，去年6月，微软修复了一个MotW 安全绕过漏洞 (CVE-2024-38213)，而恶意软件操纵组织 DarkGate 已从2024年3月起在野利用该0day，规避SmartScreen 防护措施并安装伪装成 Apple iTunes、NVIDIA、Notion 等合法软件的恶意软件。

受经济利益驱动的黑客组织 Water Hydra（即DarkCasino）还利用另外一个 MotW 绕过漏洞 (CVE-2024-21412) 攻击Telegram 股票交易渠道以及通过DarkMe 远程访问木马攻击Forex交易论坛。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~