Про уязвимость Remote Code Execution - 7-Zip (BDU:2025-01793). Уязвимость заключается в том, что при распаковке файлов из скачанного архива на них не проставляется метка Mark-of-the-Web. Поэтому запуск распакованного зловреда не будет блокироваться механизмами безопасности Windows. Если помните, в январе была похожая уязвимость CVE-2025-0411. Там проблема была с запуском файлов из интерфейса архиватора, её пофиксили. А в данном случае проблема с полностью распакованными архивами. И эту проблему ИСПРАВЛЯТЬ НЕ БУДУТ! 🤷♂️
Автор утилиты Игорь Павлов ответил нашему коллеге Константину Дымову, что отсутствие простановки Mark-of-the-Web по умолчанию это фича. Изменять дефолты они не будут. Чтобы метка проставлялась, нужно выставить опцию "" в "".
Если в вашей организации используется 7-Zip, имейте в виду такое небезопасное поведение по умолчанию. Либо делайте харденинг, либо заменяйте 7-Zip на другое решение.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.