Die kürzlich gemeldete Mark-of-the-Web-Schwachstelle in 7-Zip wurde von Angreifern in freier Wildbahn für Schadcode-Schmuggel missbraucht.
Vor etwa zwei Wochen wurde eine Sicherheitslücke in 7-Zip bekannt, die den Mark-of-the-Web-Schutz (MotW) betrifft, also die Ausführungsverhinderung von aus dem Internet heruntergeladener Dateien. Jetzt erörtert Trend Micro Details zur Schwachstelle und weist darauf hin, dass sie in freier Wildbahn missbraucht wurde, um Opfern Schadcode unterzuschieben.
Eine tiefgehende Analyse von Trend Micros Zero-Day-Initiative-Team (ZDI) erörtert die Schwachstelle CVE-2025-0411 genauer, als das bislang der Fall war. MotW stattet aus dem Netz heruntergeladene Dateien mit einem NTFS Alternate Data Stream (ADS) mit dem Namen “Zone.Identifier” aus, in dem der Text “ZoneId=3” eingebettet ist. Der steht für “nicht vertrauenswürdige Zone”, etwa dem Internet, als Ursprung. Solche Dateien prüft Windows zusätzlich etwa mit Microsoft Defender Smartscreen. Derart markierte Dateien führt Windows standardmäßig nicht ohne Rückfrage aus und verhindert so etwa den automatischen Start von Schadcode.
Schwachstelle: Doppeltes Archiv
Durch das Verpacken eines Archivs in ein anderes hat 7-Zip vor Version 24.09 die MotW-Markierung nicht korrekt weitergereicht – das passiert unabhängig vom genutzten Archivformat. Angreifer können das missbrauchen, um Archive zu erstellen, die bösartige Skripte oder Binärdateien enthalten, die nicht mit dem MotW-Marker ausgestattet werden. Das macht Windows-Nutzer für Angriffe anfällig, da solche Inhalte ohne weitere Warnung ausführbar sind. Auch der Schutz vor bösartigen Dokumenten in Microsoft Office basiert darauf.
Das ZDI-Team hat am 25. September den Missbrauch dieser Sicherheitslücke in freier Wildbahn beobachtet. Vermutlich russische kriminelle Banden haben damit die ukrainische Regierung und Organisationen in einer SmokeLoader-Malware-Kampagne angegriffen. Bei der Untersuchung stellte sich heraus, dass E-Mails von ukrainischen Behörden- und Unternehmens-Konten stammten und auf kommunale Organisationen und Unternehmen zielten.
Eine aufgeführte Beispiel-Mail stammte von einer dem ukrainischen Innenministerium unterstehenden Behörde mit dem Namen State Executive Service of Ukraine (SES) und ging an den Helpdesk eines der größten Auto-, Lkw- und Bus-Hersteller der Ukraine, Zaporizhzhia Automobile Building Plant (PrJSC ZAZ). In einem manipulierten Archiv missbrauchten die Angreifer gleichartig aussehende Zeichen (Homoglyphen), um in der inneren ZIP-Datei des “doppelten” Archivs eine Datei als Word-Dokument zu tarnen. Bei der Malware-Kampagne nutzten sie vor allem die Ähnlichkeit des kyrillischen Zeichens “Es” mit dem lateinischen Zeichen “C”.
Durch die Tarnung als .doc-Datei entpacken Empfänger die Datei mit höherer Wahrscheinlichkeit, erörtert Trend Micro, was durch die 7-Zip-Lücke dazu führt, dass sie keinen MotW-Marker erhält. In der Folge werden dadurch etwa Javascript-, Windows-Script-Dateien und Windows-Shortcuts ausführbar. Auf diese Art haben die Angreifer dann die Smokeloader-Malware an Opfer ausgeliefert, bei denen bei der Ausführung keine Warnmechanismen ansprangen.
Wer 7-Zip einsetzt, sollte unbedingt auf Version 24.09 oder neuer aktualisieren, um diese Schwachstelle auszubessern. Da 7-Zip keinen integrierten Update-Mechanismus hat, ist dazu der Besuch der 7-Zip-Webseite, das Herunterladen des Installationsprogramms und das manuelle Überinstallieren nötig.