CVE-2025-0411 7-Zip Mark-of-the-Web 绕过

CVE-2025-0411 正在被野外利用，该漏洞是在 7-Zip 归档器中发现的，并被用于针对乌克兰组织的 SmokeLoader 恶意软件活动。据信，一个俄罗斯网络犯罪集团在俄乌冲突期间使用了这种策略进行网络间谍活动，利用被入侵的电子邮件账户和同形文字攻击来利用漏洞。

影响版本

24.09之前的所有版本

背景

当用户从不受信任的来源（例如 Internet）下载文件时，Windows操作系统会向文件添加一种称为Web 标记 (MotW)的源标识符。此标志警告 Windows 和用户该文件具有潜在危险，因此系统可以更加小心地处理该文件。例如，如果您尝试运行带有 MotW 标记的文件，Windows Defender SmartScreen 将检查该文件的信誉并向您发送警告，以帮助防止恶意软件感染。

下图Zone.Identifier显示了有关压缩文件的信息。此信息告诉 Windows 该文件是从互联网下载的。

下图显示了由于 MotW 标签而出现的 Windows Defender SmartScreen 安全警告。此警告有助于保护用户免受潜在危险文件的侵害。

文件属性显示 MotW 标签信息如下（蓝色框）。当您运行带有此标签的文件时，会出现如上所示的警告弹出窗口。

根本原因

CVE-2025-0411 漏洞允许攻击者通过使用 7-Zip 对文件进行双重压缩来绕过此 MotW 保护。 Windows 仅将外部压缩文件标记为 MotW，而不将其内部的文件标记为 MotW。 通过利用这一点，攻击者可以通过将恶意可执行文件隐藏在内部压缩文件中并通过外部压缩文件进行分发来绕过 Windows 的 MotW 保护。如果用户使用 7-Zip 打开这个双压缩文件并运行其中的文件，则恶意软件可能会在没有任何 MotW 警告或 Windows Defender SmartScreen 扫描的情况下执行。

验证

此图展示了 CVE-2025-0411 的 PoC 演示，其中一个 ZIP 存档嵌套在另一个 ZIP 存档中。在这个 PoC 中，嵌套存档

（poc.outer.zip\poc.inner.zip）内的文件poc.bat没有 MotW 保护。缺乏保护大大增加了恶意软件感染的风险，并阻止 Windows Defender SmartScreen 正确检查文件的信誉和签名。如果你解压文件并运行它，则不会出现警告弹出，并且它将按如下方式运行。

缓解建议

1. 更新 7-Zip：从 7-Zip 官方网站下载并安装 24.09 或更高版本。
2. 谨慎对待不受信任的文件：避免打开来自未知或可疑来源的文件，尤其是压缩档案。
3. 利用安全功能：确保您的操作系统和安全软件配置为检测和阻止恶意文件。