Kerentanan tingkat tinggi pada pengarsip file 7-Zip memungkinkan penyerang melewati fitur keamanan Windows Mark of the Web (MotW) dan mengeksekusi kode di komputer pengguna saat mengekstraksi file berbahaya dari arsip yang disarangkan.
7-Zip menambahkan dukungan untuk MotW di Juni 2022dimulai dengan versi 22.00. Sejak itu, secara otomatis menambahkan tanda MotW (aliran data alternatif ‘Zone.Id’ khusus) ke semua file yang diekstraksi dari arsip yang diunduh.
Tanda ini memberi tahu sistem operasi, browser web, dan aplikasi lain bahwa file mungkin berasal dari sumber yang tidak tepercaya dan harus ditangani dengan hati-hati.
Akibatnya, ketika mengklik dua kali file berisiko yang diekstraksi menggunakan 7-Zip, pengguna akan diperingatkan bahwa membuka atau menjalankan file tersebut dapat menyebabkan perilaku yang berpotensi berbahaya, termasuk memasang malware di perangkat mereka.
Microsoft Office juga akan memeriksa tanda MotW, dan jika ditemukan, dokumen akan dibuka Tampilan Terlindungiyang secara otomatis mengaktifkan mode baca-saja dan menonaktifkan semua makro.
Namun, seperti yang dijelaskan Trend Micro dalam sebuah penasehat diterbitkan pada akhir pekan, kelemahan keamanan dilacak sebagai CVE-2025-0411 dapat membiarkan penyerang melewati peringatan keamanan ini dan mengeksekusi kode berbahaya pada PC target mereka.
“Kerentanan ini memungkinkan penyerang jarak jauh untuk melewati mekanisme perlindungan Mark-of-the-Web pada instalasi 7-Zip yang terpengaruh. Interaksi pengguna diperlukan untuk mengeksploitasi kerentanan ini karena target harus mengunjungi halaman berbahaya atau membuka file berbahaya,” kata Trend Micro.
“Kelemahan spesifik ada dalam penanganan file yang diarsipkan. Saat mengekstraksi file dari arsip buatan yang memuat Mark-of-the-Web, 7-Zip tidak menyebarkan Mark-of-the-Web ke file yang diekstraksi. Sebuah penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode arbitrer dalam konteks pengguna saat ini.”
Untungnya, pengembang 7-Zip Igor Pavlov telah menambal kerentanan ini pada tanggal 30 November 2024dengan rilis 7-Zip 24.09.
“7-Zip File Manager tidak menyebarkan aliran Zone.Identifier untuk file yang diekstraksi dari arsip bersarang (jika ada arsip terbuka di dalam arsip terbuka lainnya),” Pavlov dikatakan.
Kelemahan serupa dieksploitasi untuk menyebarkan malware
Namun, karena 7-Zip tidak memiliki fitur pembaruan otomatis, banyak pengguna yang mungkin masih menjalankan versi rentan yang dapat dieksploitasi oleh pelaku ancaman untuk menginfeksi mereka dengan malware.
Semua pengguna 7-Zip harus menambal instalasi mereka sesegera mungkin, mengingat kerentanan tersebut sering dieksploitasi dalam serangan malware.
Misalnya, pada bulan Juni, Microsoft mengatasi kerentanan bypass keamanan Mark of the Web (CVE-2024-38213) itu Operator malware DarkGate telah mengeksploitasinya secara liar sebagai zero-day sejak Maret 2024 untuk menghindari perlindungan SmartScreen dan menginstal malware yang disamarkan sebagai penginstal untuk Apple iTunes, NVIDIA, Notion, dan perangkat lunak sah lainnya.
Kelompok peretas Water Hydra (alias DarkCasino) yang bermotivasi finansial juga telah mengeksploitasi bypass MotW lainnya (CVE-2024-21412) dalam serangan yang menargetkan saluran Telegram perdagangan saham dan forum perdagangan valas dengan trojan akses jarak jauh DarkMe (RAT).
