Le CVE-2025-0411, une vulnérabilité de contournement de la marque dans l’outil d’archiver open-source 7-Zip, fixé en novembre 2024, a été exploité dans des attaques zéro-jour pour livrer des logiciels malveillants aux entités ukrainiennes, Trend Micro Micro Micro Les chercheurs ont révélé.
La vulnérabilité 7-zip (CVE-2025-0411)
Mark-of-the-Web (MOTW) est un identifiant de zone utilisé par le système d’exploitation Windows pour signaler les fichiers téléchargés depuis Internet comme potentiellement nocifs.
«CVE-2025-0411 permet aux acteurs de menace de contourner les protections MOTW Windows par un contenu à double archivage à l’aide de 7-zip. La double archivage implique l’incapsulation d’une archive au sein d’une archive », a expliqué Peter Girnus, chercheur avec Trend Micro Zero Day Initiative.
«La cause profonde de CVE-2025-0411 est qu’avant la version 24.09, 7-Zip n’a pas correctement propagé les protections MOTW au contenu des archives à double encapsure. Cela permet aux acteurs de menace de créer des archives contenant des scripts malveillants ou des exécutables qui ne recevront pas de protections MOTW, laissant les utilisateurs de Windows vulnérables aux attaques. »
Comparaison hexagonale entre le fichier d’archives externes et interne (source: Trend Micro)
Par conséquent, les utilisateurs qui exécutent de tels fichiers ne seront pas affichés un avertissement de sécurité par Windows, leur demandant de réfléchir à deux fois avant de poursuivre l’action et peut-être d’abandonner l’effort.
Les vulnérabilités de contournement de MOTW sont régulièrement exploitées par les attaquants.
La campagne d’attaque zéro jour
«Un attaquant peut tirer parti [CVE-2025-0411] Pour exécuter du code arbitraire dans le contexte de l’utilisateur actuel », Trend Micro’s Zero Day Initiative explique.
Et ils l’ont fait: fin septembre 2024, l’équipe de chasse aux menaces du ZDI a repéré les attaquants en tirant parti de la vulnérabilité (alors zéro-jour) aux victimes de selle avec le malware smokeloader.
Les objectifs étaient des employés des organisations municipales ukrainiennes (par exemple, le conseil municipal de Zalishchyky) et les entreprises ukrainiennes (par exemple, l’usine de construction d’automobile de Zaporizhzhia). Le vecteur de l’infection était des courriels avec des pièces jointes malveillantes envoyées à partir de comptes de messagerie compromis appartenant aux organes directeurs ukraniens (par exemple, le service exécutif de l’État de l’Ukraine).
«Au cours de cette campagne, les acteurs de la menace ont mis en œuvre une couche supplémentaire de tromperie pour manipuler les utilisateurs dans l’exécution de la vulnérabilité zéro-jour CVE-2025-0411», Girnus noté.
«En utilisant le caractère cyrillique« ES », les attaquants ont conçu une archive intérieure imitant un fichier .doc. Cette stratégie induit efficacement les utilisateurs pour déclencher par inadvertance l’exploit pour CVE-2025-0411, ce qui entraîne le contenu de l’archive libéré sans protection MOTW. Par conséquent, cela permet l’exécution de fichiers JavaScript (.js), de fichiers de script Windows (.wsf) et de fichiers de raccourci Windows (.url). »
Trend Micro estime que la campagne était le travail des groupes de cybercriminalité russes, «avec le cyberespionnage étant l’objectif le plus probable de ces attaques dans le cadre du conflit russo-ukrainien en cours.»
Que devraient faire les organisations?
Trend Micro a rapporté l’existence de la vulnérabilité à Igor Pavlov, le créateur de 7-Zip, qui l’a corrigé fin novembre 2024 en publiant la version 24.09 du logiciel.
Son existence a été révélée publiquement le 19 janvier 2025, et un exploit de preuve de concept (POC) était rendu public peu après.
Les utilisateurs de 7-Zip ont été invités à plusieurs reprises à mettre à jour le logiciel vers la dernière version, car l’outil n’a pas de fonctionnalité automatique.
Trend Micro exhorte également les organisations à:
- Éduquer les employés sur l’importance de MOTW et les former à reconnaître et à signaler les tentatives de phishing
- Mettre en œuvre des mesures de sécurité des e-mails pour détecter et bloquer les attaques de phisces de lance
- Désactivez l’exécution automatique des fichiers à partir de sources non fiables et configurez les systèmes pour inciter les utilisateurs à vérifier avant d’ouvrir ces fichiers
- Implémentez la protection (filtrage du domaine et de l’URL) pour détecter et bloquer les attaques de phishing basées sur l’homoglyphe.
