Une vulnérabilité de gravité élevée dans l’archiveur de fichiers 7-Zip permet aux attaquants de contourner la fonctionnalité de sécurité Windows Mark of the Web (MotW) et d’exécuter du code sur les ordinateurs des utilisateurs lors de l’extraction de fichiers malveillants à partir d’archives imbriquées.
7-Zip a ajouté la prise en charge de MotW en juin 2022, à partir de la version 22.00. Depuis lors, il a automatiquement ajouté des drapeaux MotW (spéciaux ‘Zone.Id’ alternate data streams) à tous les fichiers extraits des archives téléchargées.
Cet indicateur informe le système d’exploitation, les navigateurs Web et d’autres applications que les fichiers peuvent provenir de sources non fiables et doivent être traités avec prudence.
Par conséquent, en double-cliquant sur des fichiers à risque extraits à l’aide de 7-Zip, les utilisateurs seront avertis que l’ouverture ou l’exécution de tels fichiers pourrait entraîner un comportement potentiellement dangereux, y compris l’installation de logiciels malveillants sur leurs appareils.
Microsoft Office recherchera également les indicateurs MotW et, s’il est détecté, il ouvrira les documents en mode protégé, ce qui active automatiquement le mode lecture seule et désactive toutes les macros.
Cependant, comme Trend Micro l’a expliqué dans un avis publié ce week-end, une faille de sécurité identifiée comme CVE-2025-0411 peut permettre aux attaquants de contourner ces avertissements de sécurité et d’exécuter du code malveillant sur les PC de leurs cibles.
« Cette vulnérabilité permet aux attaquants distants de contourner le mécanisme de protection de la marque du Web sur les installations affectées de 7-Zip. L’interaction de l’utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant », explique Trend Micro.
« La faille spécifique existe dans le traitement des fichiers archivés. Lors de l’extraction de fichiers à partir d’une archive contrefaite portant la marque du Web, 7-Zip ne propage pas la Marque du Web aux fichiers extraits. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code arbitraire dans le contexte de l’utilisateur actuel. »
Heureusement, le développeur de 7-Zip Igor Pavlov a déjà corrigé cette vulnérabilité le 30 novembre 2024, avec la sortie de 7-Zip 24.09.
« Le gestionnaire de fichiers 7-Zip n’a pas propagé la Zone.Flux d’identifiants pour les fichiers extraits des archives imbriquées (s’il y a une archive ouverte à l’intérieur d’une autre archive ouverte) », a déclaré Pavlov.
Failles similaires exploitées pour déployer des logiciels malveillants
Cependant, étant donné que 7-Zip n’a pas de fonction de mise à jour automatique, de nombreux utilisateurs exécutent probablement toujours une version vulnérable que les auteurs de menaces pourraient exploiter pour les infecter avec des logiciels malveillants.
Tous les utilisateurs de 7-Zip doivent corriger leurs installations dès que possible, étant donné que de telles vulnérabilités sont souvent exploitées dans les attaques de logiciels malveillants.
Par exemple, en juin, Microsoft a abordé une marque de la vulnérabilité de contournement de la sécurité Web (CVE-2024-38213) que les opérateurs de logiciels malveillants DarkGate ont exploitée dans la nature comme un jour zéro depuis mars 2024 pour contourner la protection SmartScreen et installer des logiciels malveillants camouflés en installateurs pour Apple iTunes, NVIDIA, Notion et d’autres logiciels légitimes.
Le groupe de piratage informatique Water Hydra (alias DarkCasino) à motivation financière a également exploité un autre contournement de MotW (CVE-2024-21412) dans des attaques ciblant les canaux Telegram de négociation d’actions et les forums de trading forex avec le cheval de Troie d’accès à distance DarkMe (RAT).