Uma vulnerabilidade no 7-Zip que permitia aos atacantes contornar o recurso de segurança do Windows Mark of the Web (MoTW) foi explorada por hackers russos como uma vulnerabilidade de zero-day desde setembro de 2024.
De acordo com pesquisadores da Trend Micro, a falha foi usada em campanhas de malware SmokeLoader direcionadas ao governo da Ucrânia e organizações privadas no país.
O Mark of the Web é um recurso de segurança do Windows projetado para alertar os usuários de que o arquivo que estão prestes a executar vem de fontes não confiáveis, solicitando uma etapa de confirmação adicional por meio de um aviso.
Contornar o MoTW permite que arquivos maliciosos sejam executados na máquina da vítima sem aviso prévio.
Ao baixar documentos e executáveis da web ou recebidos como um anexo de email, o Windows adiciona um fluxo de dados alternativo especial chamado 'Zone.Id', conhecido como Mark-of-the-Web (MoTW) ao arquivo.
Ao tentar abrir um arquivo baixado, o Windows verificará se existe um MoTW e, caso afirmativo, exibirá avisos adicionais ao usuário, perguntando se tem certeza de que deseja executar o arquivo.
Da mesma forma, ao abrir um documento no Word ou Excel com uma bandeira MoTW, o Microsoft Office gerará avisos adicionais e desativará macros.
Como os recursos de segurança do Mark of the Web impedem a execução automática de arquivos perigosos, os atores de ameaças comumente tentam encontrar formas de contornar o MoTW para que seus arquivos sejam executados automaticamente.
Por anos, pesquisadores de cibersegurança solicitaram que o 7-Zip adicionasse suporte para o Mark of the Web, mas foi somente em 2022 que o suporte para o recurso foi finalmente adicionado.
A equipe da Zero Day Initiative (ZDI) da Trend Micro descobriu a falha, agora rastreada como CVE-2025-0411, em 25 de setembro de 2024, observando-a em ataques realizados por atores de ameaças russas.
Hackers exploraram o CVE-2025-0411 usando arquivos duplamente arquivados (um arquivo dentro de outro arquivo) para explorar a falta de herança do marcador MoTW, resultando na execução de arquivos maliciosos sem acionar avisos.
Os arquivos de arquivo especialmente criados foram enviados para os alvos através de e-mails de phishing de contas do governo ucraniano comprometidas para contornar os filtros de segurança e parecerem legítimos.
Utilizando técnicas de homoglifos, os atacantes esconderam seus payloads dentro dos arquivos 7-Zip, fazendo-os parecer documentos Word ou PDF inofensivos.
Embora abrir o arquivo-pai propague a bandeira MoTW, a falha CVE-2025-0411 fez com que a bandeira não se propagasse para o conteúdo do arquivo interno, permitindo que scripts maliciosos e executáveis fossem lançados diretamente.
Este último passo dispara o payload SmokeLoader, um malware dropper usado no passado para instalar ladrões de informações, trojans, ransomware, ou criar backdoors para acesso persistente.
A Trend Micro diz que esses ataques impactaram as seguintes organizações:
- Serviço Executivo Estadual da Ucrânia (SES) – Ministério da Justiça
- Planta de Construção de Automóveis de Zaporizhzhia (PrJSC ZAZ) – Fabricante de automóveis, ônibus e caminhões
- Kyivpastrans – Serviço de Transporte Público de Kiev
- Companhia SEA – Fabricante de eletrodomésticos, equipamentos elétricos e eletrônicos
- Administração Estadual do Distrito de Verkhovyna – administração da oblast de Ivano-Frankivsk
- VUSA – Companhia de seguros
- Farmácia Regional da Cidade de Dnipro – Farmácia regional
- Kyivvodokanal – Companhia de Abastecimento de Água de Kiev
- Conselho Municipal de Zalishchyky – Conselho da cidade
Embora a descoberta da vulnerabilidade zero-day tenha ocorrido em setembro, a Trend Micro levou até 1º de outubro de 2024 para compartilhar um exploit de prova de conceito (PoC) funcional com os desenvolvedores do 7-Zip.
Este último abordou os riscos por meio de uma correção implementada na versão 24.09, lançada em 30 de novembro de 2024.
No entanto, como o 7-Zip não inclui um recurso de atualização automática, é comum que os usuários do 7-Zip utilizem versões desatualizadas.
Portanto, é fortemente recomendado que os usuários façam o download da versão mais recente para garantir que estão protegidos contra essa vulnerabilidade.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...