Une vulnérabilité 7-Zip permettant aux attaquants de contourner la fonctionnalité de sécurité Windows Mark of the Web (MotW) a été exploitée par des pirates russes comme un jour zéro depuis septembre 2024.

Selon les chercheurs de Trend Micro, la faille a été utilisée dans des campagnes de logiciels malveillants SmokeLoader ciblant le gouvernement ukrainien et les organisations privées du pays.

La marque du Web est une fonctionnalité de sécurité Windows conçue pour avertir les utilisateurs que le fichier qu’ils sont sur le point d’exécuter provient de sources non fiables, demandant une étape de confirmation via une invite supplémentaire. Contourner MoTW permet aux fichiers malveillants de s’exécuter sur la machine de la victime sans avertissement.

Lors du téléchargement de documents et d’exécutables à partir du Web ou reçus en pièce jointe à un e-mail, Windows ajoute un ‘spécial Zone.Id’ un autre flux de données appelé la marque du Web (MoTW) vers le fichier.

Lorsque vous tentez d’ouvrir un fichier téléchargé, Windows vérifie s’il existe un MoTW et, dans l’affirmative, affiche des avertissements supplémentaires à l’utilisateur, lui demandant s’il est sûr de vouloir exécuter le fichier. De même, lors de l’ouverture d’un document dans Word ou Excel avec un indicateur MoTW, Microsoft Office génère des avertissements supplémentaires et désactive les macros.

Avertissements MoTW dans Windows

Comme la marque des fonctionnalités de sécurité Web empêche l’exécution automatique des fichiers dangereux, les auteurs de menaces tentent généralement de trouver des contournements MoTW afin que leurs fichiers s’exécutent et s’exécutent automatiquement.

Pendant des années, les chercheurs en cybersécurité ont demandé la prise en charge de l’ajout de 7-Zip pour la marque du Web, mais ce n’est qu’en 2022 que la prise en charge de la fonctionnalité a finalement été ajoutée.

Contournements MoTW exploités dans les attaques
Le 25 septembre 2024, l’équipe Zero Day Initiative (ZDI) de Trend Micro a découvert la faille, désormais suivie sous le numéro CVE-2025-0411, en l’observant dans des attaques menées par des acteurs de la menace russes.

Les pirates informatiques ont exploité CVE-2025-0411 en utilisant des fichiers archivés en double (une archive dans une archive) pour exploiter un manque d’héritage de l’indicateur MoTW, ce qui a entraîné l’exécution de fichiers malveillants sans déclencher d’avertissements.

Les fichiers d’archives spécialement conçus ont été envoyés à des cibles via des courriels de phishing provenant de comptes compromis du gouvernement ukrainien pour contourner les filtres de sécurité et sembler légitimes.

Exemple d’e-mail de phishing utilisé dans la campagne

En utilisant des techniques d’homoglyphe, les attaquants ont caché leurs charges utiles dans les fichiers 7-Zip, les faisant apparaître comme des documents Word ou PDF inoffensifs.

Bien que l’ouverture de l’archive parente propage l’indicateur MoTW, la faille CVE-2025-0411 a empêché l’indicateur de se propager au contenu de l’archive interne, permettant aux scripts et exécutables malveillants de se lancer directement.

Le contenu réel des fichiers masqués

Cette dernière étape déclenche la charge utile SmokeLoader, un compte-gouttes de logiciels malveillants utilisé dans le passé pour installer des voleurs d’informations, des chevaux de Troie, des ransomwares ou créer des portes dérobées pour un accès persistant.

Trend Micro indique que ces attaques ont eu un impact sur les organisations suivantes:

  • Service exécutif d’État de l’Ukraine (SES) – Ministère de la Justice
  • Usine de construction automobile de Zaporizhzhia – PrJSC ZAZ) – Fabricant d’automobiles, d’autobus et de camions
  • Kyivpastrans-Service de Transport en Commun de Kiev
  • SEA Company-Fabricant d’appareils électroménagers, d’équipements électriques et d’électronique
  • Administration d’État du district de Verkhovyna – Administration de l’oblast d’Ivano-Frankivsk
  • VUSA-Compagnie d’assurance
  • Pharmacie régionale de la Ville de Dnipro – Pharmacie régionale
  • Kyivvodokanal-Compagnie d’approvisionnement en eau de Kiev
  • Conseil municipal de Zalishchyky – Conseil municipal

Mise à jour 7-Zip
Bien que la découverte du jour zéro ait eu lieu en septembre, il a fallu à Trend Micro jusqu’au 1er octobre 2024 pour partager un exploit de preuve de concept (PoC) fonctionnel avec les développeurs de 7-Zip.

Ce dernier a abordé les risques via un patch implémenté dans la version 24.09, publiée le 30 novembre 2024. Cependant, comme 7-Zip n’inclut pas de fonction de mise à jour automatique, il est courant que les utilisateurs de 7-Zip exécutent des versions obsolètes.

Par conséquent, il est fortement recommandé aux utilisateurs de télécharger la dernière version pour s’assurer qu’ils sont protégés contre cette vulnérabilité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *