В открытом доступе обнаружены PoC-эксплойты, которые могут реализовывать атаку путём изменения маршрута распаковки и встраивания произвольных файлов. В корпоративных средах архивы обрабатываются автоматически, что повышает вероятность атаки.
Узвимости CVE-2025-11001 и CVE-2025-11002 связаны с неправильной обработкой символьных ссылок при извлечении содержимого ZIP-архивов. Это даёт злоумышленникам возможность перенаправлять процесс распаковки в произвольные места, включая защищённые системные области. Например, символическая ссылка направлена на рабочий стол, куда впоследствии помещается исполняемый файл. Выполнение кода произойдет при запуске файла.
Затронутые версии 21.02-24.09. Анализ показал, что причина кроется в ошибочной работе модулей ArchiveExtractCallback.cpp, функций IsSafePath и структуры CLinkLevelsInfo::Parse. Несмотря на то, что исходный путь кажется относительным, фактическое размещение выходит за рамки безопасной зоны. Ошибка исправлена в обновлении 25.00, которое добавляет дополнительную проверку и улучшает работу с абсолютными путями, учитывая флаг поддержки isWSL.
Опубликованные эксплойты демонстрируют возможность направленного внедрения файлов. Атака может быть нацелена индивидуально на конкретных пользователей с привилегиями администратора или системы, работающих в режиме разработчика. Важно отметить, что код работает исключительно под Windows.
Публикация PoC-эксплойтов создаёт риск интеграции подобных методов в более сложные атаки, используемые в фишинге или загрузке вредоносных программ. Пользователям рекомендуется установить обновление до актуальной версии 7-Zip, отключить поддержку символических ссылок и проявлять осторожность при обработке файлов и операциях с критическими областями системы. Этот случай подчёркивает важность тщательной проверки процессов обработки архивов, ведь незначительная ошибка в логике способна повлечь значительные последствия.
Узвимости CVE-2025-11001 и CVE-2025-11002 связаны с неправильной обработкой символьных ссылок при извлечении содержимого ZIP-архивов. Это даёт злоумышленникам возможность перенаправлять процесс распаковки в произвольные места, включая защищённые системные области. Например, символическая ссылка направлена на рабочий стол, куда впоследствии помещается исполняемый файл. Выполнение кода произойдет при запуске файла.
Затронутые версии 21.02-24.09. Анализ показал, что причина кроется в ошибочной работе модулей ArchiveExtractCallback.cpp, функций IsSafePath и структуры CLinkLevelsInfo::Parse. Несмотря на то, что исходный путь кажется относительным, фактическое размещение выходит за рамки безопасной зоны. Ошибка исправлена в обновлении 25.00, которое добавляет дополнительную проверку и улучшает работу с абсолютными путями, учитывая флаг поддержки isWSL.
Опубликованные эксплойты демонстрируют возможность направленного внедрения файлов. Атака может быть нацелена индивидуально на конкретных пользователей с привилегиями администратора или системы, работающих в режиме разработчика. Важно отметить, что код работает исключительно под Windows.
Публикация PoC-эксплойтов создаёт риск интеграции подобных методов в более сложные атаки, используемые в фишинге или загрузке вредоносных программ. Пользователям рекомендуется установить обновление до актуальной версии 7-Zip, отключить поддержку символических ссылок и проявлять осторожность при обработке файлов и операциях с критическими областями системы. Этот случай подчёркивает важность тщательной проверки процессов обработки архивов, ведь незначительная ошибка в логике способна повлечь значительные последствия.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь