.
Os pesquisadores disseram que descobriram recentemente uma vulnerabilidade de dias zero na utilidade de arquivamento de 7 zip que foi explorada ativamente como parte da invasão contínua da Ucrânia pela Rússia.
A vulnerabilidade permitiu que um grupo cibernético russo substituísse uma proteção do Windows projetada para limitar a execução de arquivos baixados da Internet. A defesa é comumente conhecida como MOTW, abreviação de Marca da web. Ele funciona colocando uma tag “zone.entifier” em todos os arquivos baixados da Internet ou de um compartilhamento em rede. Esta tag, um tipo de fluxo de dados alternativo do NTFS e, na forma de uma zona (3, sujeita o arquivo a um escrutínio adicional da tela inteligente do Windows Defender e restrições sobre como ou quando pode ser executado.
Há um arquivo no meu arquivo
A vulnerabilidade de 7-ZIP permitiu ao grupo russo de crimes cibernéticos ignorar essas proteções. Explorações trabalhadas incorporando um arquivo executável dentro de um arquivo e depois incorporando o arquivo em outro arquivo. Enquanto o arquivo externo carregava a etiqueta MOTW, a interna não. A vulnerabilidade, rastreada como CVE-2025-0411, foi fixada com o lançamento da versão 24.09 no final de novembro.
Atributos da tag do arquivo externo mostrando o MOTW.
Crédito: Trend Micro
Os atributos do arco interno da tag Motw estão ausentes.
Crédito: Trend Micro
“A causa raiz do CVE-2025-0411 é que, antes da versão 24.09, o 7-ZIP não propagou adequadamente as proteções do MOTW para o conteúdo de arquivos encapsulados em dupla”. escreveu Peter Girnus, pesquisador da Trend Micro, a empresa de segurança que descobriu a vulnerabilidade. “Isso permite que os atores de ameaças criem arquivos contendo scripts ou executáveis maliciosos que não receberão proteções do MOTW, deixando os usuários do Windows vulneráveis a ataques”.
.
