
7-Zipはオープンソースのファイルアーカイバです。
7z、ZIP、RAR、LZH、ISO、TAR、DMG、MSIなど、さまざまなデータフォーマットに1つで対応している世界的にデファクトのフリーソフトウェアです。
多機能であるということは多くの脆弱性を含んでいる可能性があるということと関連性が強いのでしょうか。
7-Zipでは、たびたび脆弱性が発見され、修正が提供されています。
そんな7-Zipの脆弱性の一つの悪用が観測されています。
- CVE-2025-0411
これは7-Zipの脆弱性です。
CVSS:3.0のBaseスコアは7.0です。
リモートの攻撃者がマーク・オブ・ザ・ウェブ(MotW)保護を回避し、現在のユーザーのコンテキストで任意のコードを実行できてしまう問題です。 - MotW保護の回避
MotWは、Microsoft Defender SmartScreenによる追加のチェックを実行せずに、インターネットからダウンロードされたファイルが自動的に実行されるのを防ぐために、MicrosoftがWindowsに実装したセキュリティ機能です。
バージョン24.09より前の7-Zipは二重カプセル化アーカイブのコンテンツにMotW保護を適切に伝播しませんでした。
これにより、脅威アクターはMotW保護を受けない悪意のあるスクリプトや実行可能ファイルを含むアーカイブを作成でき、Windowsユーザーは攻撃に対して脆弱になってしまいます。 - 実際の攻撃の流れの例
- メールの受信
特別に細工されたアーカイブファイルを含むフィッシングメールを受信することから攻撃は始まります。
このメールは別の攻撃で侵害済みの一般組織の環境から送信されています。 - メールに添付ファイル
フィッシングメールには添付ファイルが含まれています。
その添付ファイルはアーカイブファイルなのですが、ホモグリフ攻撃を使用して内部のZIPアーカイブをMicrosoft Word文書ファイルとして偽装した形式になっています。
ファイルの拡張子は「.doc」に見えるのですが、末尾の「c」の部分がABCのCではなく別の言語のCに似た文字に置き換えられているのです。
今回はこれはキリル文字のなかから選んだものが使われました。 - 中身の実行
メール受信者は添付ファイルがWord文書だと思って開こうとします。
しかし、実際には、これはWord文書ではなくアーカイブファイルで7-Zipで展開されます。
そして、CVE-2025-0411の関係で取り出された中身はMotWが外れた状態になってしまいます。
実際には外部から持ち込んだファイルなのですが、その外部から持ち込んだファイルが警告なしで実行できる状態で持ち込めた状態になりました。
今回実行されるのはURLファイルです。 - ZIPの入手
実行されたURLファイルは外部に接続し、別のZIPファイルを取得します。
そして、中身を展開します。 - SmokeLoaderの設置
ZIPファイルの中に入っていたのは、PDFドキュメントに偽装されたSmokeLoaderでした。
- メールの受信
このようにして7-Zipの脆弱性の悪用により、攻撃者は侵害環境にSmokeLoaderを設置しました。
設置されたSmokeLoaderは、現地で活動を開始します。
C2と連携する機能などを使い、侵害環境で各種の侵害活動を行います。
フィッシングメールの出来は、どんどん自然なものになってきています。
脆弱性はいろいろなソフトウェアで次々に発見されていきます。
見つかった脆弱性は次々に悪用されていきます。
注意してメールを読むということだけで、すべての事象に対応できるかというと、どうでしょうか。
利用しているソフトウェア群をタイムリーに更新して適切な状態に保つということを、取り組める重要な事項として継続していく必要がありそうです。
CVE-2025-0411: Ukrainian Organizations Targeted in Zero-Day Campaign and Homoglyph Attacks
https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html
この記事をシェア |
---|