紧急！7-Zip惊现高危漏洞[CVE-2025-0411]，解压文件=打开潘多拉魔盒？

原创 云梦DC 云梦安全 2025-02-26 01:07

全球超2亿用户使用的压缩神器7-Zip，近日曝出MotW标记绕过漏洞（CVSS 7.0）。攻击者可构造特殊压缩包：

✅ 绕过Windows安全标记（Zone.Identifier）

✅ 躲避杀毒软件检测

✅ 解压后直接运行恶意程序

你的电脑是否在死亡名单？

▸ 所有7-Zip 24.09之前版本均受影响

▸ 涉及Windows 10/11全系列系统

▸ 企业文件服务器成重灾区

【攻击全透视：黑客如何3步攻破防线】

1️⃣ 武器制造：双压缩“特洛伊木马”

黑客将恶意程序（如勒索软件）进行两次7z压缩，植入规避检测的元数据：

7z a payload.7z calc.exe  

7z a final_payload.7z payload.7z  # 双重嵌套绕过标记检测

2️⃣ 钓鱼投递：伪装成日常文件

伪造发票、合同、工资表的文件名

通过邮件附件/网盘链接传播

利用”紧急通知”等话术诱导下载

3️⃣ 致命双击：安全警告凭空消失

用户使用旧版7-Zip解压 → MotW标记被剥离 → 恶意程序无警告直接运行！

【自测指南：3秒判断是否中招】

1️⃣ 版本检查：

打开7-Zip → 帮助 → 关于 → 版本号≥24.09？

（低于此版本立即卸载！）

2️⃣ 样本验证：

查看解压文件安全标记（管理员运行）

Get-Content .\test.exe -Stream Zone.Identifier

※ 若返回空白，说明标记已丢失！

3️⃣ 日志排查（企业管理员专用）：

Event Viewer → Windows Logs → Application → 筛选事件ID 1000-1100  

搜索关键词7z.dll或COINIT_DISABLE_OLE1DDE

【5层防御矩阵：个人&企业必看】

🔒 个人用户急救包

立即升级：访问官网下载24.09+版本

强制安全扫描（解压必做）：

注册表

Windows键+R → regedit → 定位到HKEY_CLASSES_ROOT\7-Zip\shell\open\command  

修改默认值为：”C:\Program Files\7-Zip\7zG.exe” “%1” -scrc  

启用沙箱：用Sandboxie等工具隔离解压操作

🛡️ 企业级防护方案

全网阻断旧版：

SCCM脚本示例

Get-ItemProperty HKLM:\Software\7-Zip | Where {$_.Version -lt 24.09} | Uninstall-Package  

邮件网关升级：

▸ 拦截双重压缩文件（.7z.7z/.zip.7z）

▸ 标记所有外部来源压缩包为高风险

终端防护强化：

部署CrowdStrike等EDR产品，监控7zFM.exe子进程创建

🚨 终极防御：组策略锁死攻击链

组策略模板

计算机配置 → 管理模板 → Windows组件 → 附件管理器  

启用”文件附件中不保留区域信息” → 已禁用  

【漏洞验证：黑客视角还原攻击】

攻击效果对比图

未打补丁（24.07） 已修复版本（24.09）

文件图标 无警告标志 显眼”未知发布者”标记

运行提示 直接启动程序 SmartScreen拦截弹窗

日志记录 无安全事件 记录ID 1125:MotW 强制拦截

poc:https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC