Popüler Dosya Arşivleme Aracı 7-ZIP’de (CVE-2025-0411) kritik bir güvenlik açığı, CISA’nın bilinen sömürülen güvenlik açığı veritabanına eklenen Ukrayna organizasyonlarını hedefleyen vahşi doğada aktif olarak kullanılmıştır.
Bu kusur, saldırganların Windows’un Web’in İşareti (MOTW) Güvenlik özelliğini atlamasına izin vererek kötü amaçlı kodun yürütülmesini sağlıyor.
Güvenlik açığı, devam eden Rus-Ukrayna çatışması arasında muhtemelen Rus siber suç grupları tarafından düzenlenen siber başlık kampanyalarıyla bağlantılıdır.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 7-ZIP dosya arşivinde kritik bir güvenlik açığı olan CVE-2025-0411’i bilinen sömürülen güvenlik açıkları (KEV) kataloğuna ekledi. Bu güvenlik açığı vahşi doğada aktif olarak sömürüldü,
Güvenlik Açığı: CVE-2025-0411
CVE-2025-0411, 7-ZIP’nin çift arkalıklı dosyaların işlenmesinde bir kusurdan yararlanan bir “Web-of the Web Bypass” güvenlik açığıdır.
Dosyalar güvenilmeyen kaynaklardan indirildiğinde, Windows onlara Microsoft Defender SmartScreen tarafından gerçekleştirilenler gibi ek güvenlik kontrollerini tetiklemek için bir MOTW ataması atar.
Bununla birlikte, 7-ZIP’nin 24.09 sürümünden önce, bu koruma iç içe arşivlerdeki dosyalara uygun şekilde yayılmamıştır. Bu gözetim, saldırganların bu kritik güvenlik önlemlerini atlayabilecek arşivler üretmesine izin verdi.
Vahşi doğada sömürü
Güvenlik açığı ilk olarak 25 Eylül 2024’te, Ukrayna hükümetini ve sivil kuruluşları hedefleyen bir dumanlı kötü amaçlı yazılım kampanyası sırasında tanımlandı.
POC istismarı piyasaya sürüldükten sonra, saldırganlar kötü niyetli 7-zip arşivlerini dağıtmak için tehlikeye atılmış gönderen hesaplarıyla mızrak-aktı e-postaları kullandılar.
Bu arşivler, kötü niyetli dosyaları meşru belgeler olarak gizlemek için farklı alfabelerden görsel olarak benzer karakterler kullanan homoglif saldırıları kullanmıştır (örneğin, “.doc” uzantılarını taklit etmek).
Yürütüldükten sonra, bu dosyalar MOTW korumalarını atladı ve dumanlı da dahil olmak üzere kötü amaçlı yazılım yükleri teslim etti. Bu kötü amaçlı yazılım tam sistem uzlaşmasını kolaylaştırdı ve büyük olasılıkla siber yüzme amaçlı kullanıldı.
Kampanya, aşağıdakileri içeren çeşitli Ukraynalı kuruluşları hedef aldı:
- Ukrayna Devlet İcra Servisi gibi hükümet organları.
- Zaporizhzhia otomobil bina tesisi gibi endüstriyel kuruluşlar.
- Kiev Toplu Taşımacılığı ve Kiev Water Tedarik Şirketi gibi kamu hizmetleri.
Daha küçük yerel yönetim kuruluşları, sınırlı siber güvenlik kaynakları nedeniyle özellikle savunmasızdı, bu da onları daha büyük hedeflere yönelik saldırganlar için çekici pivot puanları haline getirdi.
Güvenlik açığı, 1 Ekim 2024’te 7-ZIP’nin yaratıcısı Igor Pavlov’a açıklandı. Sorunu ele alan bir yama 30 Kasım 2024’te 24.09 sürümünde yayınlandı. Kuruluşlara yazılımlarını derhal güncellemeleri şiddetle tavsiye ediliyor.
Savunucular için öneriler
CVE-2025-0411 ve benzeri güvenlik açıkları ile ilişkili riskleri azaltmak için:
- Güncelleme Yazılımı: 7-ZIP’nin tüm örneklerinin 24.09 veya daha sonraki sürüm olarak güncellendiğinden emin olun.
- E -posta Güvenliği: Güçlü e-posta filtreleme ve spam önleme önlemleri uygulayın.
- Çalışan Eğitimi: Personeli kimlik avı girişimlerini ve homoglif saldırılarını tanıma konusunda eğitin.
- Dosya yürütmesini kısıtlayın: Güvenilmeyen kaynaklardan dosyaların otomatik olarak yürütülmesini devre dışı bırakın.
- Alan Adı İzleme: Homoglif tabanlı kimlik avı alanlarını tespit etmek için etki alanı filtrelemesini kullanın.
- URL filtreleme: Bilinen kötü amaçlı alanlara erişim engelleyin ve güncellenmiş kara listeleri koruyun.
Bu hikayeyi ilginç bul! Daha anında güncelleme almak için bizi Google News, LinkedIn ve X’te takip edinS