Popüler dosya arşivleyicisi 7-Zip’teki iki kritik güvenlik açığına yönelik kavram kanıtlayıcı bir istismardır ve potansiyel olarak saldırganların kötü amaçlı ZIP dosyaları aracılığıyla uzaktan rastgele kod yürütmesine olanak tanır.
CVE-2025-11001 ve CVE-2025-11002 olarak takip edilen kusurlar, 7 Ekim 2025’te Sıfır Gün Girişimi (ZDI) tarafından açıklandı ve Windows sistemlerinde ZIP çıkarma sırasında sembolik bağlantıların hatalı işlenmesinden kaynaklanıyor.
Her ikisinin de CVSS v3.0 puanı 7,0 olup, başlangıçtaki düşük risk algılarına rağmen ciddi etki potansiyelinin altını çizmektedir.
Bu sorunlar, 21.02’den 24.09’a kadar 7-Zip sürümlerini etkiliyor; burada sembolik bağlantı dönüştürme işlemindeki kusurlar, yol geçiş saldırılarına olanak tanıyor. GMO Flatt Security Inc.’den Ryota Shiga tarafından keşfedilen güvenlik açıkları, 7-Zip’in Linux tarzı sembolik bağlantıları nasıl işlediğini kullanarak bunları yeterli koruma olmadan Windows eşdeğerlerine dönüştürüyor.
Güvenlik uzmanı pacbypass tarafından paylaşılan ayrıntılı analizde, hataların ArchiveExtractCallback.cpp modülünde, özellikle IsSafePath ve CLinkLevelsInfo::Parse gibi işlevlerde ortaya çıktığı görüldü.
Sembolik Bağlantı Kusurlarını Açmak
Temel sorun, 7-Zip’in sembolik bağlantı hedeflerini doğru şekilde doğrulayamayan çıkarma mantığında yatmaktadır. C:\Users gibi bir Windows mutlak yoluna işaret eden bir Linux sembolik bağlantısı içeren bir ZIP çıkartılırken, yazılım, Linux veya WSL ortamları için özel olarak tasarlanmış kusurlu bir mutlak yol kontrolü nedeniyle onu göreceli olarak yanlış sınıflandırır.
Bu, IsSafePath’teki güvenlik kontrollerini atlayarak sembolik bağlantının çıkarma dizini dışında çözümlenmesine olanak tanır.
Ayrıca SetFromLinkPath’te sembolik bağlantı oluşturma sırasında 7-Zip, çıkarma klasörü yolunu hedefin başına ekleyerek doğrulamadan kaçan görünüşte güvenli bir göreceli yol oluşturur.
CloseReparseAndFile’da yapılan sonraki bir kontrol, dizin olmayanlar için dizine özgü incelemeyi atlayarak sembolik bağlantının keyfi bir şekilde işaret etmesini sağlar. Sürüm 25.00’deki yamalar, isWSL bayrağıyla yeni bir IsSafePath aşırı yüklemesi ve mutlak yolları doğru şekilde tespit etmek için iyileştirilmiş ayrıştırma sunarak bu boşlukları kapatır.
Analiz, GitHub’daki 24.09 ve 25.00 sürümleri arasındaki farklardan yararlanarak sembolik bağlantı desteğinin yeniden çalışıldığını ortaya koyuyor. Bir CVE muhtemelen doğrudan yol geçişini hedeflerken, diğeri UNC yol sembolik bağlantılarını içerir ve ağ bağlantılı senaryolardaki riskleri artırır.
Bu kusurlardan yararlanmak, önce bir sembolik bağlantının çıkarıldığı ve sonraki dosyaların Masaüstü veya sistem dizinleri gibi hassas konumlara yönlendirildiği bir ZIP oluşturulmasını gerektirir.
Örneğin, kötü amaçlı bir arşiv, C:\Kullanıcılar$$Kullanıcı Adı]\Desktop’a işaret eden “bağlantı” adında bir sembolik bağlantı ve ardından calc.exe gibi bir veri oluşturabilir. Çıkartmanın ardından 7-Zip bağlantıyı takip ederek yürütülebilir dosyayı hedefe yazar ve kullanıcı onu çalıştırırsa potansiyel olarak kod yürütülmesine yol açar.
Pacbypass’ın GitHub deposunda bulunan PoC, bunu, sembolik bağlantının referansını kaldıran ve rastgele dosya yazma işlemlerine olanak tanıyan bir dizin yapısını açarak gösterir.
Ancak kötüye kullanım, yükseltilmiş ayrıcalıklar, geliştirici modu veya yükseltilmiş hizmet bağlamı gerektirir; bu da onu geniş kapsamlı kimlik avı yerine hedefli saldırılarla sınırlandırır. Yalnızca Windows’ta çalışır, Linux veya macOS’u göz ardı eder.
Azaltmalar
Bu sorunları kapsamlı bir şekilde ele aldığı için kullanıcıların hemen 7-Zip 25.00 sürümüne güncelleme yapması gerekmektedir. Antivirüs araçlarıyla arşivlerin çıkarılması veya taranması sırasında sembolik bağlantı desteğinin devre dışı bırakılması maruz kalmayı azaltabilir. Bu güvenlik açıkları, arşiv işleyicilerinde süregelen risklerin altını çiziyor ve dizin geçişleri gibi geçmişteki 7-Zip kusurlarını hatırlatıyor.
PoC kamuoyu ile saldırganlar, kimlik avı kampanyalarında ilk erişim için bunları silah haline getirebilir. Toplu çıkarmalar için 7-Zip’e güvenen kuruluşlar iş akışlarını denetlemeli ve anormal dosya yazma işlemlerini izlemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
