CVE-2025-33028：WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行

TtTeam 2025-05-03 05:47

热门文件压缩工具 WinZip 被曝光存在严重安全漏洞（CVE-2025-33028），致使数百万用户面临静默代码执行风险。作为 Windows 抵御网络钓鱼与恶意软件的重要防线，Web 标记（MotW）功能通过标记互联网下载文件、触发运行前安全警告，有效拦截含宏或可执行文件的恶意威胁。但该漏洞可直接绕过 MotW 机制，使攻击者能借助精心构造的压缩文件，在不触发任何 Windows 安全提示的情况下，悄然植入恶意负载，导致用户安全防护措施完全失效。

“当打开从互联网下载的档案时，WinZip 不会将 Mark-of-the-Web 保护传播到提取的文件”。

当用户下载恶意压缩文件（例如 .zip、.7z）并使用 WinZip 29.0 版（64 位）解压时，其中包含的文件会丢失 MotW 标签。这使得这些文件在 Windows 看来是安全的——即使它们嵌入了危险的宏或脚本。

攻击者可以利用此漏洞的方式
– 恶意存档创建：攻击者制作一个恶意存档文件（例如 .zip 或 .7z），其中包含有害文件，例如武器化的 .docm（启用宏的 Word 文档）。

• 交付和 MotW 标记：该档案随后会被分发并从互联网上下载。下载完成后，该档案会被打上“网络标记 (Mark-of-the-Web)”的标签。

• WinZip 提取：用户使用 WinZip 打开下载的档案并提取其内容。

• MotW 删除：至关重要的是，WinZip 会从提取的恶意文件中删除 MotW 标签。

• 恶意代码执行：提取的文件现在被视为受信任的本地文件，允许其中的恶意宏或脚本执行而不会触发安全警告。

此漏洞的后果
1. 代码执行：攻击者可以在受害者的系统上执行任意代码，可能安装恶意软件或控制机器。

1. 权限提升：利用此漏洞，攻击者可以在用户环境中获得提升的权限，从而执行通常无权执行的操作。

2. 信息泄露：攻击者可能会访问和窃取存储在受感染系统上的敏感数据。

强烈建议用户
1. 避免使用 WinZip 打开不受信任的档案。

1. 使用支持 MotW 的替代存档工具（如 Windows 的内置提取器）。

2. 部署能够检测恶意宏执行的端点保护。