ファイル・アーカイバ 7-Zip に存在する深刻度の高い脆弱性により、攻撃者はネストされたアーカイブから悪意のあるファイルを抽出する際に、Mark of the Web (MotW) Windows セキュリティ機能をバイパスし、ユーザーのコンピュータ上でコードを実行することができる。
7-Zipは2022年6月、バージョン22.00からMotWのサポートを追加した。それ以来、ダウンロードされたアーカイブから抽出されたすべてのファイルに、MotWフラグ(特別な「Zone.Id」代替データストリーム)が自動的に追加されています。
このフラグは、オペレーティングシステム、ウェブブラウザ、およびその他のアプリケーションに、ファイルが信頼できないソースから来た可能性があり、注意して扱う必要があることを通知します。
その結果、7-Zipを使用して展開された危険なファイルをダブルクリックすると、そのようなファイルを開いたり実行したりすると、デバイスにマルウェアをインストールするなど、潜在的に危険な動作につながる可能性があることが警告されます。
Microsoft OfficeもMotWフラグをチェックし、見つかった場合、自動的に読み取り専用モードを有効にし、すべてのマクロを無効にする保護ビューで文書を開きます。
しかし、トレンドマイクロが週末に公開したアドバイザリで説明しているように、CVE-2025-0411として追跡されているセキュリティ上の欠陥により、攻撃者はこれらのセキュリティ警告を回避し、ターゲットのPC上で悪意のあるコードを実行することができます。
「この脆弱性により、リモートの攻撃者は、影響を受ける7-Zipのインストール上のMark-of-the-Web保護メカニズムをバイパスすることができます。この脆弱性を悪用するには、ターゲットが悪意のあるページにアクセスするか、悪意のあるファイルを開く必要があるため、ユーザーによる操作が必要です。
「特定の欠陥は、アーカイブされたファイルの処理に存在します。Mark-of-Webを含む細工されたアーカイブからファイルを抽出する際、7-Zipは抽出されたファイルにMark-of-Webを伝播しません。攻撃者はこの脆弱性を利用して、現在のユーザーのコンテキストで任意のコードを実行することができる。”
幸運なことに、7-Zipの開発者であるIgor Pavlovは、2024年11月30日に7-Zip 24.09をリリースし、すでにこの脆弱性にパッチを当てています。
“7-Zipファイルマネージャは、ネストされたアーカイブから抽出されたファイルのZone.Identifierストリームを伝播しませんでした(別のオープンアーカイブの中にオープンアーカイブがある場合)。
マルウェアを展開するために悪用された同様の欠陥
しかし、7-Zipには自動アップデート機能がないため、多くのユーザーはまだ脆弱なバージョンを使用している可能性が高く、脅威行為者はそれを悪用してマルウェアに感染させることができる。
このような脆弱性がマルウェア攻撃に悪用されることが多いことを考えると、すべての7-Zipユーザーはできるだけ早くインストールにパッチを当てるべきである。
例えば、マイクロソフトは6月、DarkGateマルウェアの運営者が2024年3月以来ゼロデイとして悪用しているMark of the Webセキュリティバイパスの脆弱性(CVE-2024-38213)に対処し、SmartScreen保護を回避して、Apple iTunes、NVIDIA、Notion、およびその他の正規ソフトウェアのインストーラに偽装したマルウェアをインストールするようにしました。
また、金銭的な動機に基づくWater Hydra(別名DarkCasino)ハッキング・グループは、DarkMeリモート・アクセス・トロージャン(RAT)による株式取引TelegramチャンネルやFX取引フォーラムを標的とした攻撃で、別のMotWバイパス(CVE-2024-21412)を悪用しています。
Comments