Selon des rapports récents, la vulnérabilité CVE-2025-0411 dans le logiciel 7-Zip permet aux attaquants de contourner la protection Mark-of-the-Web de Windows, exposant les utilisateurs à des risques de sécurité importants lors de l'ouverture d'archives malveillantes.

L'exploitation de la vulnérabilité CVE-2025-0411 dans 7-Zip a été principalement observée dans le cadre d'une campagne de distribution du malware SmokeLoader, ciblant particulièrement des organisations ukrainiennes. SmokeLoader, un outil offensif fréquemment utilisé par des groupes de hackers liés à la Russie comme UAC-0006, a été déployé via cette faille dans le contexte du conflit russo-ukrainien.

La campagne SmokeLoader exploitant CVE-2025-0411 a été détectée dès l'automne 2024, bien avant que la vulnérabilité ne soit corrigée en novembre de la même année. Les attaquants ont utilisé des techniques sophistiquées de spear-phishing, combinant l'exploitation de la faille 7-Zip avec des attaques par homoglyphes pour tromper les victimes.

Le processus d'infection implique généralement les étapes suivantes :

Une fois installé, SmokeLoader agit comme un cheval de Troie, permettant aux attaquants de télécharger et d'exécuter d'autres charges utiles malveillantes, potentiellement incluant des ransomwares, des logiciels espions ou des outils d'accès à distance (RAT).

Cette campagne souligne l'importance stratégique des vulnérabilités dans des outils largement utilisés comme 7-Zip, qui peuvent être exploitées pour des opérations de cyberespionnage à grande échelle. Les chercheurs en sécurité notent que certains comptes email compromis lors de cette campagne pourraient être réutilisés dans de futures attaques, augmentant ainsi la crédibilité des emails malveillants et les chances de manipulation des victimes.

Les attaques par homoglyphes et l'utilisation d'archives doubles sont deux techniques sophistiquées employées dans l'exploitation de la vulnérabilité CVE-2025-0411, particulièrement dans le cadre de la campagne SmokeLoader ciblant l'Ukraine.

Les attaques par homoglyphes reposent sur l'utilisation de caractères visuellement similaires mais appartenant à des alphabets différents pour tromper les utilisateurs. Dans le contexte de CVE-2025-0411, les attaquants ont utilisé cette technique pour masquer la nature malveillante des fichiers contenus dans les archives 7-Zip. Par exemple, ils ont remplacé des caractères latins par leurs équivalents cyrilliques visuellement identiques, comme le remplacement du "c" latin par le "с" cyrillique (Es). Cette astuce permet de créer des noms de fichiers qui semblent légitimes à première vue, comme "document.doс", où le "c" final est en réalité un caractère cyrillique, masquant potentiellement un exécutable malveillant.

L'utilisation d'archives doubles est une autre technique clé dans l'exploitation de CVE-2025-0411. Cette méthode consiste à encapsuler une archive dans une autre, créant une structure du type "archive_externe.zip/archive_interne.zip/fichier_malveillant". Cette technique exploite une faille dans la gestion des Mark-of-the-Web (MotW) par 7-Zip, où les protections MotW ne sont pas correctement propagées aux fichiers contenus dans l'archive interne. Ainsi, lorsqu'un utilisateur extrait le contenu de l'archive externe, puis de l'archive interne, le fichier malveillant final se retrouve sans les marqueurs MotW, contournant les mécanismes de sécurité de Windows.

La combinaison de ces deux techniques crée une attaque particulièrement insidieuse :

Cette approche a été observée dans des campagnes de phishing sophistiquées, où les attaquants ont créé des domaines malveillants utilisant des homoglyphes pour imiter des sites légitimes comme "api-miсrosoft[.]com". Ces domaines sont utilisés pour héberger les archives malveillantes ou pour des attaques de credential harvesting, où les utilisateurs sont incités à entrer leurs identifiants sur ce qui semble être un site authentique.

La détection de ces attaques est complexe, nécessitant une vigilance accrue de la part des utilisateurs et des systèmes de sécurité capables d'identifier les caractères homoglyphes et les structures d'archives suspectes. Les organisations sont encouragées à mettre en place des filtres avancés pour détecter les domaines utilisant des homoglyphes et à former leurs employés à reconnaître ces techniques d'ingénierie sociale sophistiquées.

La vulnérabilité CVE-2025-0411 dans 7-Zip permet de contourner la protection Mark-of-the-Web (MotW) de Windows, un mécanisme de sécurité crucial pour identifier les fichiers provenant de sources potentiellement non fiables, comme Internet. Le MotW ajoute une information nommée Zone.Identifier aux fichiers téléchargés, signalant ainsi leur origine externe.

Normalement, lorsqu'un utilisateur tente d'ouvrir un fichier marqué par MotW, Windows ou une application compatible affiche un avertissement sur les risques potentiels. Par exemple, Microsoft Office ouvre ces fichiers en mode protégé, limitant les fonctionnalités potentiellement dangereuses.

Cependant, la faille dans 7-Zip empêche la propagation correcte du marqueur MotW aux fichiers extraits d'archives compressées. Concrètement, cela signifie que des fichiers malveillants peuvent être exécutés sans déclencher les avertissements de sécurité habituels, augmentant considérablement le risque d'infection.

L'exploitation de cette vulnérabilité implique généralement une technique d'archivage double. Les attaquants créent une structure d'archive du type "archive_externe.zip/archive_interne.zip/fichier_malveillant". Lors de l'extraction, le fichier malveillant se retrouve dépourvu des protections MotW, contournant ainsi les mécanismes de sécurité de Windows.

Il est important de noter que cette vulnérabilité ne permet pas une élévation de privilèges. Le fichier malveillant s'exécute dans le contexte de l'utilisateur, avec ses permissions. Néanmoins, cela reste dangereux car de nombreuses actions malveillantes peuvent être effectuées sans nécessiter de droits administrateur.

Pour se protéger, il est crucial de mettre à jour 7-Zip vers la version 24.09 ou ultérieure, qui corrige cette vulnérabilité. De plus, les utilisateurs doivent rester vigilants face aux fichiers téléchargés depuis des sources non fiables, même s'ils semblent inoffensifs à première vue. Les organisations devraient envisager de mettre en place des politiques de sécurité strictes concernant l'ouverture de fichiers provenant de sources externes et former leurs employés à reconnaître les signes potentiels d'une tentative d'exploitation de cette vulnérabilité.