打開網(wǎng)易新聞 查看精彩圖片

研究人員稱，他們最近在 7-Zip 壓縮實(shí)用程序中發(fā)現(xiàn)了一個(gè)零日漏洞，在俄羅斯對(duì)烏克蘭的持續(xù)行動(dòng)中，該漏洞被多次利用。

該漏洞使得一個(gè)俄羅斯組織能夠繞過一項(xiàng)旨在限制執(zhí)行從互聯(lián)網(wǎng)下載文件的 Windows 保護(hù)機(jī)制。這種保護(hù)機(jī)制通常被稱為 “網(wǎng)絡(luò)標(biāo)記”（Mark of the Web，簡(jiǎn)稱 MotW）。它的工作原理是在所有從互聯(lián)網(wǎng)或網(wǎng)絡(luò)共享下載的文件上放置一個(gè) “Zone.Identifier” 標(biāo)簽。這個(gè)標(biāo)簽屬于 NTFS 備用數(shù)據(jù)流的一種，格式為 ZoneID=3，它會(huì)讓文件受到 Windows Defender SmartScreen 的額外審查，并對(duì)其執(zhí)行方式和時(shí)間加以限制。

7-Zip 的這個(gè)漏洞使得一個(gè)俄羅斯組織能夠繞過這些保護(hù)措施。其利用方式是將一個(gè)可執(zhí)行文件嵌入到一個(gè)壓縮包中，然后再將這個(gè)壓縮包嵌入到另一個(gè)壓縮包內(nèi)。外層壓縮包帶有網(wǎng)絡(luò)標(biāo)記標(biāo)簽，而內(nèi)層的則沒有。這個(gè)被追蹤為 CVE - 2025 - 0411 的漏洞，在去年 11 月下旬隨著 24.09 版本的發(fā)布得以修復(fù)。

打開網(wǎng)易新聞 查看精彩圖片

打開網(wǎng)易新聞 查看精彩圖片

發(fā)現(xiàn)該漏洞的安全公司趨勢(shì)科技的研究員彼得?吉爾努斯（Peter Girnus）寫道：“CVE - 2025 - 0411 的根本原因在于，在 24.09 版本之前，7-Zip 沒有將網(wǎng)絡(luò)標(biāo)記保護(hù)正確應(yīng)用到雙重封裝的壓縮包內(nèi)容上。這使得威脅行為者能夠制作出包含惡意腳本或可執(zhí)行文件的壓縮包，這些文件不會(huì)受到網(wǎng)絡(luò)標(biāo)記保護(hù)，從而讓 Windows 用戶易受攻擊。”

為了更好地掩蓋攻擊，可執(zhí)行文件的擴(kuò)展名使用了所謂的 “同形異義字符”。這些字符不屬于 ASCII 標(biāo)準(zhǔn)，盡管它們看起來與某些 ASCII 字符相同或相似。例如，西里爾字母 “С”，它看起來與 ASCII 字符 “C” 一模一樣，但實(shí)際上兩者毫無關(guān)聯(lián)，因?yàn)樗鼈儗儆谕耆煌木幋a方案。多年來，黑客一直使用同形異義字符來偽造敏感網(wǎng)站的域名。

利用 7-Zip 零日漏洞的威脅行為者以類似方式使用同形異義字符，讓可執(zhí)行文件看起來像是文檔文件。這些雙重壓縮的文件被附在從烏克蘭政府機(jī)構(gòu)真實(shí)受入侵賬戶發(fā)出的電子郵件中。

吉爾努斯稱，以下機(jī)構(gòu)成為了攻擊目標(biāo)：

烏克蘭國(guó)家執(zhí)行服務(wù)局（SES）—— 司法部
扎波羅熱汽車制造廠（PrJSC ZAZ）—— 汽車、客車和卡車制造商
基輔公共交通公司（Kyivpastrans）—— 基輔公共交通服務(wù)機(jī)構(gòu)
SEA 公司 —— 家電、電氣設(shè)備及電子產(chǎn)品制造商
韋爾霍維納區(qū)州政府 —— 伊萬(wàn)諾 - 弗蘭科夫斯克州行政區(qū)政府
VUSA—— 保險(xiǎn)公司
第聶伯市地區(qū)藥房 —— 地區(qū)藥房
基輔供水公司（Kyivvodokanal）—— 基輔供水公司
扎利什奇基市議會(huì) —— 市議會(huì)

任何使用 7-Zip 的用戶，尤其是在 Windows 系統(tǒng)上使用的，都應(yīng)確保使用的是最新版本，目前為 24.09 版本。

黑客聯(lián)盟】帶你走進(jìn)神秘的黑客世界