人気のファイルアーカイバー「7-Zip」に見つかった「MotW」を回避可能とする脆弱性について、悪用手順を明らかにしたPoCが公開された。これによって攻撃者の悪用が進む可能性が高く、早急な対処が求められる。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ研究者のディモス・ファンク氏は2025年1月23日(現地時間、以下同)、人気のファイルアーカイバー「7-Zip」における深刻な脆弱(ぜいじゃく)性「CVE-2025-0411」のPoC(概念実証)を公開した。
同脆弱性は「Windows」のセキュリティ機能「MotW」(Mark-of-the-Web)を回避可能にするものとされ、攻撃者が任意のコードを実行できる可能性がある。
CVE-2025-0411は7-Zipのアーカイブ処理に存在する欠陥によって、リモートの攻撃者がMotWの保護メカニズムを回避できる脆弱性だ。具体的には、細工されたアーカイブを7-Zipで展開した際、本来適用されるべきMotWの処理が抽出ファイルに引き継がれない問題が確認されている。この結果、攻撃者は被害者のコンテキスト内で任意のコードを実行することが可能となる。CVSSのスコアは7.0で深刻度「高」(High)と評価されており、この脆弱性が攻撃に悪用される危険性は高い。
この脆弱性を悪用する典型的なシナリオとして次の手順が挙げられる。攻撃者は圧縮された悪意のあるファイルを作成し、これを配信するためにファイル共有サーバ(MediaFireなど)にアップロードする。その後、フィッシングメールなどを介して被害者に配信用サーバのURLを提供し、ダウンロードするように促す。被害者がファイルを展開して実行可能ファイルを起動すると、セキュリティ警告が回避され、攻撃が成立する。
脆弱性の影響を受けるのは7-Zipバージョン24.09より前の全てのバージョンとされている。なお、2024年10月1日に開発元から修正版がリリースされており、バージョン24.09以降ではこの脆弱性が修正されている。
PoCでは、シンプルなローダーを使ってWindows標準の電卓アプリ(calc.exe)を起動する手法が示されている。実際の攻撃では悪意のあるコードの実行に利用される可能性がある。
7-Zipはその高い圧縮率と幅広い形式対応で広く利用されているオープンソースソフトウェアであり、この脆弱性が悪用された場合、個人利用者から企業まで幅広いユーザーに影響を及ぼす可能性がある。ユーザーは速やかなアップデートが強く推奨される。また不明または疑わしいソースからの圧縮ファイルを開かないことが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.