Kasım 2024’te sabitlenen açık kaynaklı arşivli aracı 7-ZIP’de Web’in bir bypass güvenlik açığı olan CVE-2025-0411, Ukraynalı kuruluşlara kötü amaçlı yazılımları teslim etmek için sıfır gün saldırılarında sömürüldü, Micro Trend Micro Araştırmacılar açıkladı.
7 ZIP Güvenlik Açığı (CVE-2025-0411)
Mark-Web (MOTW), Windows işletim sistemi tarafından internetten indirilen dosyaları potansiyel olarak zararlı olarak işaretlemek için kullanılan bir bölge tanımlayıcısıdır.
“CVE-2025-0411, tehdit aktörlerinin 7-ZIP kullanarak çift arşivleme içerikleri ile Windows MOTW korumalarını atlamasına izin veriyor. Çift arşivleme, bir arşiv içinde bir arşivin en uygun olmasını içeriyor ”dedi.
“CVE-2025-0411’in temel nedeni, 24.09 sürümünden önce, 7-ZIP’nin MOTW korumalarını çift kapsüllenmiş arşivlerin içeriğine düzgün bir şekilde yaymamasıdır. Bu, tehdit aktörlerinin MOTW korumaları almayacak ve Windows kullanıcılarını saldırılara karşı savunmasız bırakacak kötü amaçlı komut dosyaları veya yürütülebilir ürünler içeren arşivler oluşturmalarını sağlar. ”
Dış ve iç arşiv dosyası arasındaki onaltılık karşılaştırma (Kaynak: Trend Micro)
Sonuç olarak, bu tür dosyaları çalıştıran kullanıcılara Windows tarafından bir güvenlik uyarısı gösterilmez ve eylemi sürdürme hakkında iki kez düşünmelerini ve belki de çabayı tamamen terk etmelerini ister.
MOTW bypass güvenlik açıkları saldırganlar tarafından düzenli olarak sömürülmektedir.
Sıfır Gün Saldırı Kampanyası
“Bir saldırgan kaldırabilir [CVE-2025-0411] Mevcut kullanıcı bağlamında keyfi kod yürütmek için ”Trend Micro’nun Sıfır Gün Girişimi.
Ve yaptılar: Eylül 2024’ün sonlarında, ZDI’nın tehdit av ekibi, Smokeloader kötü amaçlı yazılımları ile kurbanlara (sıfır gün) kırılganlıktan yararlanan saldırganları tespit etti.
Hedefler, Ukrayna belediye kuruluşlarında (örneğin Zalishchyky Kent Konseyi) ve Ukrayna işletmelerindeki (örneğin Zaporizhzhia Otomobil Yapı tesisi) çalışanlardı. Enfeksiyon vektörü, Ukranan yönetim organlarına (örneğin Ukrayna Devlet İcra Servisi) ait tehlikeye atılmış e -posta hesaplarından gönderilen kötü niyetli eklere sahip e -postalardı.
Girnus, “Bu kampanya sırasında, tehdit aktörleri, kullanıcıları sıfır gün güvenlik açığı CVE-2025-0411’i yürütmeleri için manipüle etmek için ek bir aldatma katmanı uyguladı” dedi.
“Kirrik karakter ‘es’ kullanılarak, saldırganlar bir .doc dosyasını taklit eden bir iç arşiv tasarladılar. Bu strateji, kullanıcıları CVE-2025-0411 için istismarın yanlışlıkla tetiklenmesi için etkili bir şekilde yanıltıcıdır, bu da arşivin MOTW korumaları olmadan serbest bırakılmasına neden olur. Sonuç olarak, bu, JavaScript dosyalarının (.js), Windows komut dosyasının (.wsf) ve Windows kısayol dosyalarının (.url) yürütülmesine izin verir. ”
Trend Micro, kampanyanın Rus siber suç gruplarının çalışması olduğuna inanıyor, “sibersizliğin devam eden Rus-Ukrayna çatışmasının bir parçası olarak bu saldırıların en olası amacı olduğuna” inanıyor.
Kuruluşlar ne yapmalı?
Trend Micro, 7-ZIP’nin yaratıcısı Igor Pavlov’a, Kasım 2024’ün sonlarında yazılımın 24.09 sürümünü yayınlayarak sabitleyen güvenlik açığının varlığını bildirdi.
Varlığı 19 Ocak 2025’te kamuya açıklandı ve kısa bir süre sonra bir kavram kanıtı (POC) istismarı halka açıldı.
7-ZIP kullanıcıları, aracın otomatik güncelleme özelliğine sahip olmadığı için yazılımı en son sürüme güncellemeye çağırıldı.
Trend Micro, kuruluşları da şunlara çağırıyor:
- Çalışanları MOTW’nin önemi konusunda eğitin ve kimlik avı girişimlerini tanımak ve raporlamak için eğitin
- Mızrak aktı saldırılarını tespit etmek ve engellemek için e-posta güvenlik önlemlerini uygulayın
- Güvenilmeyen kaynaklardan dosyaların otomatik olarak yürütülmesini devre dışı bırakın ve bu tür dosyaları açmadan önce kullanıcıları doğrulamaya yönlendirecek sistemleri yapılandırın
- Homoglif tabanlı kimlik avı saldırılarını algılamak ve engellemek için koruma (etki alanı ve URL filtreleme) uygulayın.