Falla in 7-Zip bypassa gli avvisi di sicurezza di Windows: dati a rischio

Una falla ad alta gravità nel gestore di archivi compressi 7-Zip permette agli aggressori di bypassare la funzione di sicurezza Windows Mark of the Web (MotW) e di eseguire codice sui computer degli utenti durante l’estrazione di file malevoli da archivi annidati.

“La problematica riscontrata nel software 7Zip è importante, ma non particolarmente grave, dato che comunque per attivare l’exploit è necessario che l’utente apra uno dei file contenuti in un archivio decompresso”, commenta Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser, che ricorda che la patch è disponibile ed è comunque urgente.

Anche perché il gruppo di hacker Water Hydra (alias DarkCasino), motivato da finalità finanziarie, ha sfruttato anche un altro bypass MotW (CVE-2024-21412) in attacchi rivolti ai canali Telegram di trading azionario e ai forum di trading forex con il trojan di accesso remoto (RAT) DarkMe.

Falla in 7-Zip aggira gli avvisi di sicurezza di Windows

7-Zip ha aggiunto il supporto per MotW nel giugno 2022, a partire dalla versione 22.00. Da allora, ha aggiunto in automatico MotW alla 22.00. Infatti, aggiunge automaticamente i flag MotW (speciali flussi di dati alternativi “Zone.Id”) a tutti i file estratti dagli archivi scaricati.

Questo flag informa il sistema operativo, i browser web ed altre applicazioni che i file possono provenire da fonti non attendibili e richiedono molta cautela.

Quando si effettua il doppio clic su file rischiosi estratti con 7-Zip, gli utenti ricevono l’avvertimento che dice che l’apertura o l’esecuzione di tali file potrebbe portare a comportamenti potenzialmente pericolosi, compresa l’installazione di malware sui loro dispositivi.

Anche Microsoft Office verificherà la presenza dei flag MotW e, se li troverà, aprirà i documenti in Visualizzazione protetta, attivando automaticamente la modalità di sola lettura e disattivando tutte le macro.

Poiché, per attivare l’exploit, l’utente deve aprire uno dei file contenuti in un archivio decompresso, la falla è meno grave di altri.

“In sostanza, o vi è un controllo locale del dispositivo da parte degli attaccanti (che a quel punto possono anche optare per exploit diversi) oppure l’utente deve contribuire all’esecuzione avviando spontaneamente software o aprendo documenti inseriti nell’archivio compresso. Questo rende l’attacco fattibile ma meno pericoloso di altri”, avverte Dal Checco.

I dettagli

Come ha spiegato Trend Micro in un avviso pubblicato nel fine settimana, una falla di sicurezza classificata come CVE-2025-0411 può consentire agli aggressori di aggirare questi avvisi di sicurezza ed eseguire codice malevolo sui PC dei loro bersagli.

“Questa vulnerabilità consente agli aggressori remoti di bypassare il meccanismo di protezione Mark-of-the-Web sulle installazioni interessate di 7-Zip. Per sfruttare questa vulnerabilità è necessaria l’interazione dell’utente, in quanto l’obiettivo deve visitare una pagina dannosa o aprire un file dannoso”, afferma Trend Micro.

“La falla specifica riguarda la gestione dei file archiviati. Quando si estraggono i file da un archivio artigianale che reca il marchio del web, 7-Zip non propaga il marchio del web ai file estratti. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice arbitrario nel contesto dell’utente corrente”.

Come proteggersi: la patch è urgente

Igor Pavlov, sviluppatore di 7-Zip, ha già risolto questa vulnerabilità il 30 novembre scorso, con il rilascio di 7-Zip 24.09.

“7-Zip File Manager non propagava il flusso Zone.Identifier per i file estratti da archivi annidati (se c’è un archivio aperto all’interno di un altro archivio aperto)”, ha dichiarato Pavlov.

“Il consiglio, in ogni caso, è di aggiornare il software 7zip in modo che anche i file contenuti negli archivi compressi mantengano le proprietà MotW di sicurezza destinate a proteggere il sistema, e quindi l’utente, nel caso in cui la provenienza di tali file fosse sospetta”, spiega Paolo Dal Checco.

“Ovviamente, anche aggiornando il programma, sarà comunque possibile bypassare i warning ed eseguire liberamente i programmi o aprire i documenti contenuti in un archivio compresso”, mette in guardia Dal Checco: “Quindi è sempre necessario porre attenzione quando si apre un documento (Word, Excel, Powerpoint eccetera) che può contenere macro o un programma (exe e altri formati di file eseguibili) soprattutto se scaricato dalla rete”.

A giugno Microsoft ha risolto una vulnerabilità che aggira a sicurezza di Mark of the Web (CVE-2024-38213) che gli operatori di malware DarkGate hanno sfruttato come zero-day dal marzo scorso, per eludere la protezione SmartScreen ed installare malware camuffato da programmi di installazione di Apple iTunes, NVIDIA, Notion e altri software legittimi.

“Interessante, però, in questo caso, sottolineare l’importanza dei dati MotW (anche chiamati ‘Zone.Identifier’, ADS o Alternate Data sStreams), inseriti nei file scaricati da Internet, non solo in ambito sicurezza, ma anche in informatica forense“, sottolinea Dal Checco: “Questo tipo d’informazioni serve, infatti, in primis per avvisare il sistema (e quindi l’utente) che un file che si è in procinto di aprire o eseguire proviene dal web e deve quindi essere trattato con cautela (per esempio disabilitando macro, attivando modalità read only, mostrando dei warning), ma ha anche una funzione importante in ambito di perizia informatica“.

Dati importanti ad uso forense

“Molto spesso infatti queste informazioni – che l’utente non sa essere state inserite a sua insaputa in file scaricati dalla rete – si usano durante le analisi forensi per stabilire la provenienza di un file, in alcuni casi persino da quale sito possono essere stati scaricati”, spiega Dal Checco.

“Immaginiamo per esempio il caso di un soggetto che dichiara di aver creato un file sul suo PC che, successivamente a una analisi forense, emerge invece essere stato scaricato dal web. O ancora, un soggetto che dichiara l’estraneità con file che in vece – grazie ai dati MotW – risultano essere stati scaricati dal suo browser, facilitando quindi l’attribuzione, operazione spesso difficoltosa durante le attività informatiche forensi”.

Infine, è quindi “importante ricordare – sia come utilizzatori, sia come analisti forensi – che i file scaricati dal web possono contenere al loro interno nell’ADS Zone.Id e all’insaputa di chi li ha scaricati, informazioni come il tipo di fonte (locale, siti attendibili, internet, con restrizioni eccetera), l’indirizzo da cui è avvenuto il download incluso talvolta il sito ‘referrer’ da cui si è arrivati a quello finale e, in passato, persino l’indirizzo IP di provenienza del file“.