研究人員近期發現,早前的7-Zip zero-day 漏洞背後的陰謀,俄羅斯駭客組織在入侵烏克蘭期間,利用 7-Zip 壓縮工具的一個 zero-day 漏洞,成功繞過 Windows 針對下載文件的安全防護機制。該漏洞已被追蹤為 CVE-2025-0411,並於 11 月底隨 7-Zip 版本 24.09 發佈時修復。
繞過 Windows 的 MotW 防護
這次攻擊的關鍵,在於駭客成功規避了 Windows 的 Mark of the Web(MotW) 機制。該機制透過 Zone.Identifier 標籤來標記來自網絡的文件,並施加額外的安全檢查,防止惡意文件自動執行。然而,7-Zip 過去版本未能將此標籤正確應用於多層嵌套的壓縮文件,使攻擊者能夠在內部封裝惡意可執行文件,避開 Windows 防護。
透過烏克蘭政府帳戶發動攻擊
為了進一步掩飾攻擊,駭客還利用同形異義字技巧來偽造文件類型。例如,使用來自 Cyrillic 字符集 的「С」,它與 ASCII 字母「C」極為相似,但實際上是不同的字符。這種技術過去常用於 網域詐騙攻擊,如今則被應用於偽裝惡意可執行文件,使其看起來像普通文檔。
攻擊者將這些經過特殊偽裝的壓縮文件,附加在由烏克蘭政府機構受駭郵箱發出的郵件中,讓受害者更難以察覺異常。
建議使用者盡快更新
安全專家建議所有 7-Zip 使用者立即升級至最新版本 24.09,以修復該漏洞。此外,應提高警覺,避免開啟來路不明的壓縮文件,並使用 Windows Defender SmartScreen 或其他安全工具加強防護。
NewMobileLife 網站:https://www.newmobilelife.com
Facebook:https://www.facebook.com/jetsoiphone