7-Zip dosya arşivindeki yüksek şiddetli bir güvenlik açığı, saldırganların Web (MOTW) Windows Güvenlik özelliğinin işaretini atlamasına ve iç içe arşivlerden kötü amaçlı dosyaları çıkarırken kullanıcıların bilgisayarlarında kod yürütmesine olanak tanır.
7-ZIP, 22.00 sürümünden başlayarak Haziran 2022'de MOTW için destek ekledi. O zamandan beri, indirilen arşivlerden çıkarılan tüm dosyalara otomatik olarak MOTW bayrakları (Özel 'Zone.ID' alternatif veri akışları) ekledi.
Bu bayrak, işletim sistemini, web tarayıcılarını ve dosyaların güvenilmeyen kaynaklardan gelebileceği ve dikkatle ele alınması gereken diğer uygulamaları bilgilendirir.
Sonuç olarak, 7-ZIP kullanılarak çıkarılan riskli dosyaları çift tıklattığında, kullanıcılar bu tür dosyaları açmanın veya çalıştırmanın, cihazlarına kötü amaçlı yazılım yükleme de dahil olmak üzere potansiyel olarak tehlikeli davranışlara yol açabileceği konusunda uyarılacaktır.
Microsoft Office ayrıca MOTW bayraklarını kontrol edecek ve bulunursa, otomatik olarak salt okunur modu sağlayan ve tüm makroları devre dışı bırakan korumalı görünümdeki belgeleri açacaktır.
Bununla birlikte, Micro'nun hafta sonu yayınlanan bir danışmada açıkladığı gibi, CVE-2025-0411 olarak izlenen bir güvenlik kusuru, saldırganların bu güvenlik uyarılarını atlamasına ve hedeflerinin PC'lerinde kötü amaçlı kod yürütmesine izin verebilir.
"Bu güvenlik açığı, uzak saldırganların 7-ZIP'nin etkilenen kurulumlarında Web'in işaretli koruma mekanizmasını atlamalarına izin verir. Hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosyayı açması gerektiği için kullanıcı etkileşimi gereklidir." Trend Micro diyor.
"Özel kusur arşivlenmiş dosyaların işlenmesi içinde var. Web'in işaretini taşıyan hazırlanmış bir arşivden dosyaları çıkarırken 7-ZIP, Web'in işaretini çıkarılan dosyalara yaymaz. Saldırgan, mevcut kullanıcı bağlamında keyfi kod yürütmek için bu güvenlik açığından yararlanabilir. "
Neyse ki, 7 ZIP geliştiricisi IGOR Pavlov, 7-ZIP 24.09'un piyasaya sürülmesiyle 30 Kasım 2024'te bu güvenlik açığını zaten yamaladı.
Pavlov, "7-ZIP Dosya Yöneticisi Bölgeyi Yaydırmadı. Yuvalanmış Arşivlerden çıkarılan dosyalar için (başka bir açık arşivin içinde açık arşiv varsa).
Bununla birlikte, 7-ZIP'in bir otomatik güncelleme özelliği olmadığından, birçok kullanıcı hala tehdit aktörlerinin kötü amaçlı yazılımlarla enfekte olmak için sömürebileceği savunmasız bir sürüm çalıştırıyor.
Tüm 7 ZIP kullanıcıları, bu tür güvenlik açıklarının genellikle kötü amaçlı yazılım saldırılarında kullanıldığını göz önünde bulundurarak kurulumlarını mümkün olan en kısa sürede yamalıdır.
Örneğin, Haziran ayında Microsoft, Darkgate kötü amaçlı yazılım operatörlerinin Mart 2024'ten bu yana SmartScreen korumasını atlatmak ve taksitler olarak kamufle edilen kötü amaçlı kamufle edilmesi için Wildgate kötü amaçlı yazılım operatörlerinin vahşi doğada sıfır gün olarak sömürdüğü web güvenliği bypass güvenlik açığının (CVE-2024-38213) bir işaretini ele aldı. Apple iTunes, Nvidia, kavram ve diğer meşru yazılımlar için.
Finansal olarak motive olmuş su Hydra (diğer adıyla Darkcasino) hackleme grubu, stok ticaret telgraf kanallarını hedefleyen saldırılarda (CVE-2024-21412) DarkMe Remote Access Trojan (sıçan) ile başka bir MOTW bypass'tan (CVE-2024-21412) kullandı.
Yeni Windows Server 2012 Zero-Day Ücretsiz, Resmi Olmayan Yamalar
Windows 11 24h2 şimdi tüm uygun Windows 10 PC'lere de sunuldu
Microsoft, Windows 11 22H2, 23H3 Cihazları Yükseltmeye Başlıyor
Microsoft, Windows 11 Yönetici Koruma özelliğinin testini genişletir
Yeni UEFI Güvenli Önyükleme Kususu Sistemleri Bootkits'e Durur, Şimdi Yama
Kaynak: Bleeping Computer