
7-Zip verhelpt bug die Windows MoTW-beveiligingswaarschuwingen omzeilt, nu updaten.
Een kwetsbaarheid met hoge ernst in de 7-Zip-bestandsarchiverer stelt aanvallers in staat om de Mark of the Web (MotW) Windows-beveiligingsfunctie te omzeilen en code uit te voeren op de computers van gebruikers bij het uitpakken van schadelijke bestanden uit geneste archieven.
7-Zip voegde ondersteuning voor MotW toe in juni 2022, beginnend met versie 22.00. Sindsdien heeft het automatisch MotW-vlaggen (speciale ‘Zone.Id’ alternatieve datastromen) toegevoegd aan alle bestanden die zijn uitgepakt uit gedownloade archieven.
Deze vlag informeert het besturingssysteem, webbrowsers en andere applicaties dat bestanden mogelijk afkomstig zijn van onbetrouwbare bronnen en met voorzichtigheid moeten worden behandeld.
Als gevolg hiervan krijgen gebruikers bij het dubbelklikken op risicovolle bestanden die met 7-Zip zijn uitgepakt, een waarschuwing dat het openen of uitvoeren van dergelijke bestanden kan leiden tot potentieel gevaarlijk gedrag, zoals het installeren van malware op hun apparaten.
Microsoft Office controleert ook op de MotW-vlaggen en als deze worden gevonden, worden documenten geopend in de Beveiligde Weergave, die automatisch de alleen-lezen modus inschakelt en alle macro’s uitschakelt.

Echter, zoals Trend Micro in een advies uitlegde dat afgelopen weekend is gepubliceerd, kan een beveiligingslek, gevolgd als CVE-2025-0411, aanvallers in staat stellen deze beveiligingswaarschuwingen te omzeilen en schadelijke code uit te voeren op de pc’s van hun doelwitten.
“Deze kwetsbaarheid stelt externe aanvallers in staat om de Mark-of-the-Web-beschermingsmechanisme op getroffen installaties van 7-Zip te omzeilen. Gebruikersinteractie is vereist om deze kwetsbaarheid te exploiteren, omdat het doelwit een schadelijke pagina moet bezoeken of een schadelijk bestand moet openen,” zegt Trend Micro.
“De specifieke fout bestaat binnen het verwerken van gearchiveerde bestanden. Bij het uitpakken van bestanden uit een bewerkt archief dat de Mark-of-the-Web draagt, verspreidt 7-Zip de Mark-of-the-Web niet naar de uitgepakte bestanden. Een aanvaller kan deze kwetsbaarheid benutten om willekeurige code uit te voeren in de context van de huidige gebruiker.”
Gelukkig heeft 7-Zip-ontwikkelaar Igor Pavlov deze kwetsbaarheid al op 30 november 2024 verholpen met de release van 7-Zip 24.09.
“7-Zip File Manager heeft de Zone.Identifier-stroom niet verspreid voor uitgepakte bestanden uit geneste archieven (als er een open archief binnen een ander open archief is),” zei Pavlov.
Vergelijkbare fouten geëxploiteerd om malware te verspreiden
Echter, aangezien 7-Zip geen automatische updatefunctie heeft, draaien veel gebruikers waarschijnlijk nog steeds een kwetsbare versie die bedreigingsactoren zouden kunnen uitbuiten om hen met malware te infecteren.
Alle 7-Zip-gebruikers moeten hun installaties zo snel mogelijk patchen, aangezien dergelijke kwetsbaarheden vaak worden uitgebuit in malware-aanvallen.
Bijvoorbeeld, in juni heeft Microsoft een Mark of the Web-beveiligingsomzeiling kwetsbaarheid (CVE-2024-38213) aangepakt die DarkGate-malwareoperators in het wild hebben geëxploiteerd als een zero-day sinds maart 2024 om SmartScreen-bescherming te omzeilen en malware te installeren die vermomd is als installaties voor Apple iTunes, NVIDIA, Notion en andere legitieme software.
De financieel gemotiveerde Water Hydra (ook wel DarkCasino genoemd) hackersgroep heeft ook een andere MotW-omzeiling (CVE-2024-21412) geëxploiteerd in aanvallen gericht op aandelenhandel Telegram-kanalen en forexhandel fora met de DarkMe remote access trojan (RAT).
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----