شناسه CVE-2025-0411 :CVE
CWE-693 :CWE
yes :Advisory
منتشر شده: ژانویه 25, 2025
به روز شده: ژانویه 25, 2025
امتیاز: 7.0
نوع حمله: Unknown

اثر گذاری: Arbitrary code execution(ACE)
حوزه: نرم افزارهای کاربردی
برند: 7-zip
محصول: 7-zip
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری دورزدن بخش (MotW)Mark-of-the-Web در 7-Zip. این آسیب‌پذیری به مهاجمان از راه دور این امکان را می‌دهد که مکانیزم حفاظت MotW را در نسخه‌های آسیب‌دیده 7-Zip دور بزنند. برای اکسپلویت این آسیب‌پذیری، تعامل کاربر لازم است به این معنی که قربانی باید یک صفحه مخرب را بازدید یا یک فایل مخرب را باز کند. مشکل خاص در نحوه پردازش فایل‌های فشرده‌شده وجود دارد. زمانی که فایل‌ها از یک آرشیو دست‌ساز که حاوی بخش MotW است استخراج می‌شوند، 7-Zip بخش MotW را به فایل‌های استخراج‌شده منتقل نمی‌کند. یک مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد دلخواه در محیط کاربر استفاده کند.

توضیحات

یک آسیب‌پذیری در 7-Zip شناسایی شده است. این آسیب‌پذیری بر بلوک کد ناشناخته‌ای از کامپوننت MotW تأثیر می‌گذارد. ایجاد تغییرات با ورودی ناشناخته منجر به یک آسیب‌پذیری در مکانیزم حفاظت می‌شود. CWE این مشکل را به‌عنوان CWE-693 طبقه‌بندی کرده است. محصول از یک مکانیزم حفاظت استفاده نمی‌کند یا به‌طور نادرست از آن استفاده می‌کند که دفاع کافی در برابر حملات هدایت‌شده به محصول را فراهم نمی‌کند. این آسیب‌پذیری بر محرمانگی، یکپارچگی و دسترسی پذیری تأثیر می گذارد. برای اکسپلویت این آسیب‌پذیری، تعامل کاربر لازم است. یک مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد دلخواه در محیط کاربر استفاده کند. اکسپلویت این آسیب پذیری دشوار است. برای انجام حمله باید به‌صورت محلی(Local) اقدام کرد.

CVSS

Score	Severity	Version	Vector String
7	HIGH	3.0	CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
affected at 24.08 (x64)	7-Zip

لیست محصولات بروز شده

Versions	Product
24.09 (x64)	7-Zip

نتیجه گیری

بروزرسانی به نسخه 24.09 این مشکل را برطرف می کند.

منابع

گزارش اثبات آسیب‌پذیری CVE-2025-0411

اطلاعات آسیب‌پذیری
محصول آسیب‌پذیر: 7‑Zip (Windows)
عنوان: Mark-of-the-Web (MotW) Bypass via Crafted Archives
شناسه: CVE-2025-0411
وضعیت مشاوره : Advisory / Patch available
نمره CVSS (تقریبی): 7.0 (High)

محصول/نسخه‌های آسیب‌پذیر

نسخه‌های قبل از 24.09 7‑Zip در پلتفرم ویندوز آسیب‌پذیر هستند.
شرایط تأثیر زمانی رخ می‌دهد که کاربران فایل‌های دانلودشده از اینترنت را با نسخه آسیب‌پذیر 7‑Zip از حالت فشرده استخراج کنند.

خلاصه فنی (Technical Summary)

آسیب‌پذیری CVE-2025-0411 مربوط به نادرستی در منطق استخراج 7‑Zip است که اجازه می‌دهد آرشیوهای ساخت‌یافته طوری ساخته شوند که فایل‌های استخراج‌شده برچسب Mark‑of‑the‑Web (MotW) را دریافت نکنند. Mark of the Web (MotW) یک برچسب متادیتا در ویندوز است که نشان می‌دهد فایل از «اینترنت / منبع خارجی» آمده و سیستم‌عامل و اپ ها را مجبور می‌کند قبل یا هنگام اجرا احتیاط کنند. در نتیجه ویندوز هشدارها و محافظت‌های مبتنی بر MotW را اعمال نمی‌کند و کاربر ممکن است بدون دریافت نشان هشدار، فایل‌ مخرب را اجرا نماید. این ضعف به‌وسیله تکنیک‌های nested/double‑archive و homoglyph filenameها در حملات هدفمند به‌صورت واقعی مورد سوءاستفاده قرار گرفته است.

پیش‌نیازهای بهره‌برداری (Prerequisites)

قربانی فایل آرشیو crafted را دریافت و با نسخه آسیب‌پذیر 7‑Zip استخراج کند.
قربانی با تعامل کاربری (مثلاً باز کردن فایل استخراج‌شده) موجب اجرای محتویات شود
نیاز به امتیاز بالا یا دسترسی از راه دور نیست؛ بهره‌برداری در سطح کاربر رخ می‌دهد.

شرح رفتار امن مورد انتظار (Expected Secure Behavior)

تمام فایل‌های استخراج‌شده از منبع اینترنت باید برچسب MotW دریافت کنند تا Windows و اجزای امنیتی سیستم و غیره پیش از اجرا کاربر را مطلع و/یا محدود کنند
منطق استخراج باید propagation metadata را حفظ کند یا به‌صورت صریح فایل‌های استخراج‌شده از آرشیوهای اینترنتی را علامت‌گذاری نماید.

اثرات و سناریوهای حمله (Impact / Attack Scenarios)

اجرای کد مخرب در بستر کاربری قربانی پس از باز کردن فایل استخراج‌شده
در حملات مرتبط با مهندسی اجتماعی، مهاجم می‌تواند payload هایی مثل loaders یا commodity malware را توزیع کند.
محصولات و کاربران سازمانی که به‌صورت گسترده از 7‑Zip استفاده می‌کنند در معرض خطر هدف‌گیری هستند.

اثبات مفهوم (PoC) — هشدار امنیتی

با 7‑Zip نسخه آسیب‌پذیر یک فایل exe را در loader.7z قرار دهید.

سپس loader.7z را داخل final.7z قرار دهید (double‑archive)
در سیستم هدف با نسخه آسیب‌پذیر، final.7z را استخراج و سپس payload.exe را اجرا کنید.
نتیجه: فایل استخراج‌شده بدون MotW اجرا شود و هشدارهای معمول ویندوز نمایش داده نشود.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

فوری (Immediate)

به‌روزرسانی فوراً — 7‑Zip را به 09 یا جدیدتر ارتقا دهید.
مسدودسازی درگاه اول — دروازه ایمیل و پراکسی را طوری پیکربندی کنید که پیوست‌های آرشیوِ nested/double‑archive را قرنطینه یا بلاک نماید.
آموزش فوری کاربران — کاربران را آگاه کنید از باز کردن آرشیوهای مشکوک و از استخراج مستقیم در ماشین‌های کاری خودداری کنند.

میان‌مدت (Medium)

استخراج آرشیوها در محیط‌های ایزوله/سندباکس VM یا تحلیل‌گر اختصاصی تا زمانی که پچ در تمام نقاط نصب شود.
پیکربندی EDR/AV برای جلوگیری از اجرای باینری‌های تازه استخراج‌شده از پوشه‌های دانلود تا زمان اسکن کامل.
افزودن قواعد در دروازه ایمیل برای شناسایی نام‌های هم‌نما (homoglyph) و الگوهای double‑zipping

بلندمدت (Long-term)

اعمال سیاست‌های امنیتی برای جلوگیری از اجرای باینری‌ها از پوشه Downloads (AppLocker/WDAC)
متمرکزسازی توزیع نرم‌افزار (SCCM/Intune) جهت حذف نیاز کاربران به اجرای نصب‌کننده/ابزارهای ثالث محلی.
مشارکت با تامین‌کننده برای شفاف‌سازی telemetry و بهبود رفتار MotW در ابزارهای استخراج.

تشخیص و مانیتورینگ (Detection & Monitoring)

شناسایی فرآیندهای استخراج (7z.exe, 7za.exe) متعاقباً منجر به اجرای فایل‌ها در پوشه‌های دانلود کاربر شود.
قوانین SIEM/EDR برای کشف اجرای باینری از مسیرهای کاربری C:\Users\*\Downloads\*, C:\Users\*\AppData\Local\Temp\* بدون وجود MotW
لاگ‌گیری و مانیتور nested archive reception در دروازه ایمیل و ثبت متادیتای attachment chain.
هشدار بر روی parent→child anomalies نمونه متداول exe → cmd.exe یا powershell.exe در بازه زمانی کوتاه پس از استخراج.

واکنش به حادثه (Incident Response)

در صورت تشخیص بهره‌برداری مشکوک endpoint را isolate کنید.

جمع‌آوری شواهد: آرشیو اصلی، فایل‌های استخراج‌شده، هدر ایمیل، لاگ‌های فرآیند و EDR trace را ضبط نمایید.
در صورت تأیید اجرای کد: حافظه را کپچر کنید، persistenceها را شناسایی و در صورت نیاز reimage انجام دهید.
بررسی دامنه: جستجوی شاخه‌های مشابه mail recipients سایر میزبان‌ها و بررسی برای حرکت جانبی یا callbacks
اطلاع‌رسانی و گردش کلیدها/رمزها در صورت شواهد دسترسی به credentialها.

جریان حمله (Attack Flow)

نمودار شماره 1 جریان حمله مربوط به سوءاستفاده از این آسیب پذیری را نشان می دهد.

شکل 1: جریان حمله

اجرای POC در محیط ایزوله آزمایشگاه

تیم فنی Vulnerbyte این آسیب پذیری را در محیط آزمایشگاه مورد بررسی قرارداده و تولید مجدد آن امکان پذیر است. تصویر شماره 2 نتیجه موفقیت آمیز اجرای POC بر روی یک سیستم ویندوز دارای نسخه آسیب پذیر 7-Zip و دریافت شل معکوس در سیستم لینوکس کالی را نشان می دهد.

شکل 2: اجرای POC

منابع (References)

توضیحات اخلاقی / اعلام‌مسئولیت (Disclaimer)
این گزارش صرفاً برای اهداف دفاعی، مدیریت وصله و بهبود امنیت تهیه شده است. هرگونه آزمایش یا استفاده از تکنیک‌های مذکور روی سامانه‌های بدون مجوز قانونی، غیرقانونی و غیرقابل قبول است.

CVE-2025-0411 – Mark-of-the-Web (MotW) Bypass via Crafted Archives

CVE ID: CVE-2025-0411
Severity: High

Affected Systems:

7-Zip versions prior to 24.09 on Windows platforms.
Systems where users extract files originating from the Internet using vulnerable 7-Zip versions.

Patched In: 7-Zip v24.09.

References:

NVD — CVE-2025-0411
ZDI Advisory — ZDI-25-045
Trend Micro Research — Exploitation in Ukraine
Wiz Vulnerability Database
CISA KEV Catalog — 2025 update

Description

A Mark-of-the-Web (MotW) bypass exists in 7-Zip’s extraction logic (v24.08 and earlier) on Windows. Specially crafted archives can prevent extracted files from being marked as originating from the Internet. This may suppress Windows security warnings and MotW-based mitigations. An attacker can leverage this to deceive users and potentially execute malicious content in the context of the current user after interaction (e.g., opening an extracted file).

Prerequisites

User opens a crafted archive using a vulnerable 7-Zip version.
The archive contains files intended to be executed by the user.
No elevated privileges are required; attack occurs in the user context.

Proof of Concept (PoC)

(For defensive analysis and lab testing only)

# Prepare malicious archive
7z a loader.7z payload.exe
7z a final.7z loader.7z

# On target system
extract final.7z using vulnerable 7-Zip
open extracted payload.exe

The extracted file executes without MotW flags, bypassing Windows security warnings.

Expected Result

All extracted files should carry MotW flags indicating Internet origin. This ensures Windows applies expected security mitigations and prompts the user before execution.

Mitigation / Patch Guidance

Patch immediately — upgrade to 7-Zip v24.09 or newer.
Extract archives in sandboxed or isolated environments if immediate patching is not possible.
Configure EDR/antivirus to block execution of newly extracted binaries from user download folders until scanned.
Train users to avoid opening unexpected archives and verify file properties (Zone information).
Inspect and block nested or double-archived files, homoglyph filenames, and suspicious archive patterns at mail gateways.

Detection & Monitoring

Monitor extraction events where binaries are launched without MotW flags.
Correlate archive extraction with parent-child process relationships (7z.exe → cmd.exe / powershell.exe).
Watch for nested/double archives in user download folders or email attachments.
Use EDR and IDS/NGFW to flag suspicious archive patterns or files lacking MotW metadata.

Incident Response

Isolate affected endpoints immediately.
Collect forensic artifacts: original archive, extracted files, process creation logs, and email headers.
Capture memory if code execution is suspected.
Remediate by deleting malicious files, reimaging hosts if persistence is suspected, and rotating impacted credentials.
Hunt for related activity or lateral movement associated with the same campaign.

Disclaimer

This report is intended for defensive cybersecurity and patch management purposes only. Unauthorized testing or exploitation on live systems is prohibited.

بررسی آماری آسیب پذیری CVE-2025-0411 در کشور ایران

محصول آسیب پذیر: 7‑Zip

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

بررسی‌ فنی نشان می‌دهد که در حالی‌که ترافیک مستقیم به دامنه رسمی 7‑zip.org از ایران نسبتاً ناچیز است، ولی وب‌سایت‌های دانلود فارسی‌زبان میزبان نسخه‌های این ابزار و محتوای آموزشی مرتبط هستند و بنابراین استفاده واقعی در داخل کشور ملموس و گسترده است؛ با این حال، به‌دلیل فقدان آمار رسمی یا آمار یکپارچه از نصب‌ها، هیچ برآورد درصدی قابل‌اعتمادی از سهم کاربران ایران در دسترس نیست.

میزان استفاده بر اساس سایت های دانلود ایرانی

سایت های زیادی در ایران اقدام به ارائه خدمات دانلود 7-Zip میکنند. این سایتها دارای بازدید بسیار بالایی هستند برخی از این موارد در جدول زیر آورده شده است.

تعداد در زمان نگارش گزارش	عنوان مطلب	سایت
3753539 مشاهده	7Zip (7-Zip) 25.01 + Easy 7-Zip 0.1.6 نرم افزار فشرده سازی فایل‌	soft98.ir
361347 مشاهده	دانلود 7Zip v25.01 x86/x64 + Easy 7-Zip v0.1.6 + Portable	p30download.ir
227119 مشاهده	دانلود 7Zip 25.01 Final – نرم افزار فشرده سازی فایل ها	yasdl.com

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش	دورک	موتور جستجو
65500	site:.ir “7-zip”	Google
159	“7-zip دانلود “	Google
14800	“7-zip”فشرده ساز	Google

وجود نمایندگی در ایران

تا این لحظه، 7‑Zip هیچ نمایندگی رسمی یا دفتر فروش در ایران ندارد. تمام دسترسی کاربران ایرانی به نرم‌افزار از طریق دانلود مستقیم از سایت اصلی و وب‌سایت‌های محلی انجام می‌شود و هیچ ساختار رسمی پشتیبانی یا فروش در داخل کشور مستقر نیست.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

تا تاریخ کنونی، آمار رسمی و دقیقی از میزان استفاده از نرم‌افزار 7‑Zip در ایران در دسترس نیست. با این حال، بررسی‌های موجود نشان می‌دهد که این ابزار در برخی فعالیت‌های مرتبط با ایران مورد استفاده قرار گرفته است

منابع

CVE-2025-0411

آسیب‌پذیری دور زدن مکانیزم Mark-of-the-Web در 7-Zip