'Kwetsbaarheid in 7-Zip sinds september actief misbruikt bij aanvallen'
Een kwetsbaarheid in de populaire archiveringssoftware 7-Zip is sinds vorig jaar september actief misbruikt bij aanvallen, toen er nog geen beveiligingsupdate beschikbaar was om het probleem te verhelpen. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Het beveiligingslek (CVE-2025-0411) maakt het mogelijk om het Mark-of-the-Web te omzeilen, wat kan leiden tot het uitvoeren van willekeurige code op het systeem van de gebruiker.
De kwetsbaarheid werd afgelopen november door 7-Zip via versie 24.09 verholpen, maar het bestaan van de kwetsbaarheid werd pas eind januari dit jaar bekendgemaakt. Nu laat antivirusbedrijf Trend Micro weten dat CVE-2025-0411 sinds september vorig jaar bij aanvallen is ingezet. Mark-of-the-Web (MOTW) is een beveiligingsfeature van Windows die ervoor zorgt dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien.
Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. De kwetsbaarheid in 7-Zip doet zich voor bij het verwerken van archiefbestanden. Wanneer 7-Zip bestanden uit een speciaal geprepareerd archiefbestand uitpakt dat van de MOTW-tag is voorzien, wordt het Mark-of-the-Web niet aan de uitgepakte bestanden toegekend.
"Een aanvaller kan deze kwetsbaarheid gebruiken om willekeurige code in de context van de huidige gebruiker uit te voeren", aldus securitybedrijf ZDI dat het probleem rapporteerde. ZDI is onderdeel van Trend Micro. Bij de aanvallen ontvingen doelwitten een malafide zip-bestand. Dit bestand bevatte weer een ander zip-bestand. De aanvallers maakten echter gebruik van een 'homoglyph' aanval, waardoor het leek om een .doc-bestand te gaan. Dit zip-bestand bevatte een url-bestand dat naar een ander zip-bestand wees. Het zip-bestand bevatte een malafide bestand eindigend op .pdf.exe. Windows laat standaard geen bestandsextensies zien, waardoor gebruikers zouden kunnen denken dat het om een pdf-bestand gaat. De aanvallers maakten ook gebruik van een pdf-icoon voor dit bestand.
Het exe-bestand installeert de uiteindelijke malware op het systeem waarmee de aanvallers volledige controle krijgen. Trend Micro benadrukt dat het soort archiefbestand niet uitmaakt om misbruik van de kwetsbaarheid te maken. De malafide archiefbestanden werden via al eerder gecompromitteerde e-mailaccounts verstuurd. De virusbestrijder zegt dat het beveiligingslek tegen organisaties in Oekraïne is misbruikt, maar dat er een grote kans is dat ook andere organisaties door dezelfde aanvallers zijn aangevallen. Gebruikers wordt aangeraden naar de laatste versie van 7-Zip te updaten.
Toen ik halverwege de jaren '80 programmeur werd en in een IBM mainframe-omgeving belandde had iedere ontwikkelaar daar zijn eigen virtuele computertje op het mainframe dat draaide onder een single-user besturingssysteem dat CMS heette (virtuele machines waren toen al gesneden koek in de mainframewereld). De file list in CMS liet behalve bestandsnamen ook de bestandstypen zien, niet als extensie maar in een aparte kolom in het overzicht op de tekstterminal. Dat soort duidelijkheid bestond 40 jaar geleden al. Wat weerhoudt Microsoft er toch van om gewoon eens volkomen duidelijk te zijn over wat voor bestand iets nou echt is? Zijn ze, ondanks alle ingrijpende facelifts die ze Windows hebben gegeven door de jaren heen, zo gehecht aan een manier van weergeven die iets belangrijks niet goed overbrengt dat ze daar niet aan willen beginnen?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?