hadicanim
Aktif Üye
Yaklaşık iki hafta önce, 7 ZIP'de bir güvenlik açığı bilindi, bu da Web'in İşareti Korumasını (MOTW), yani İnternet'ten indirilen dosyaların uygulanmasının yürütülmesini etkiledi. Şimdi eğilim mikro detaylar zayıf nokta hakkında detaylar ve fedakarlıkları itmek için vahşi doğada kötüye kullanıldığını belirtiyor.
Reklamcılık
Trend Micros Zero-Day Initiative ekibinin (ZDI) derin bir analizi, CVE-2025-0411 zayıf noktasını şimdiye kadar olduğundan daha kesin olarak tartışıyor. MOTW, “ZoneId = 3” metninin gömülü olduğu “Zone.DiDetifier” adıyla NTFS alternatif veri akışı (ADS) ile ağdan indirilen dosyaları donatır. İnternet gibi “güvensiz olmayan bölge” anlamına gelir. Windows ayrıca bu tür dosyaları Microsoft Defender SmartScreen ile kontrol eder. Windows, bu tür işaretli dosyaları varsayılan olarak sormadan gerçekleştirmez ve böylece kötülük kodunun otomatik olarak çalıştırılmasını önler.
Zayıf nokta: çift arşiv
24.09 sürümünden önce bir arşivi başka bir arşive, 7-Zi'ye paketleyerek MOTW işaretini doğru bir şekilde geçmedi-bu, kullanılan arşiv formatından bağımsız olarak olur. Saldırganlar, MOTW işaretçisi ile donatılmayan malign komut dosyaları veya ikili dosyalar içeren arşivler oluşturmak için bunu kötüye kullanabilirler. Bu, Windows kullanıcılarını saldırılara karşı savunmasız hale getirir, çünkü bu tür içerik daha fazla uyarı verilmeden gerçekleştirilebilir. Microsoft Office'teki malign belgelere karşı koruma da temeldir.
ZDI ekibi, 25 Eylül'de Wild'daki bu güvenlik boşluğunun kötüye kullanılmasını gözlemledi. Muhtemelen Rus suç çeteleri, dumanlı bir kötü amaçlı yazılım kampanyasında Ukrayna hükümetine ve kuruluşlarına saldırdı. Çalışma sırasında e -postaların Ukraynalı makamlardan ve kurumsal hesaplardan geldiği ve belediye kuruluşlarına ve şirketlerini hedeflediği ortaya çıktı.
Listelenen örnek bir e -posta, Ukrayna'nın (SES) Devlet Yönetici Hizmeti adlı bir otoriteden geldi ve Ukrayna, Zaporizhzhia Otomobil Binası (PRJSC Planları Zaz) en büyük otomobil, kamyon ve otobüs üreticilerinden biri Helply Massk'e gitti. Manipüle edilmiş bir arşivde, saldırganlar bir dosyayı “çift” arşivinin iç zip dosyasında bir kelime belgesi olarak kamufle etmek için benzer şekilde görünümlü karakterleri (homoglifler) istismar etti. Kötü amaçlı yazılım kampanyasında, esas olarak “ES” lerin Kiril işaretinin Latin işareti “C” ile benzerliğini kullandılar.
Bir .doc dosyası olarak kamuflaj nedeniyle, alıcıların dosyayı açma olasılığı daha yüksektir, trend Micro tartışır, bu da bir MOTW işaretleyici almamasını sağlamak için 7 ZIP boşluğuna yol açar. Sonuç olarak, JavaScript, Windows komut dosyası dosyaları ve Windows kısayolları gerçekleştirilebilir. Bu şekilde, saldırganlar daha sonra smokeloader kötü amaçlı yazılımları kurbanlara teslim ettiler, burada infazda hiçbir uyarı mekanizması atlamadı.
7-ZIP kullanan herkes kesinlikle bu zayıf noktayı onarmak için 24.09 sürümünü veya yeni güncellemelidir. 7-ZIP'in entegre bir güncelleme mekanizması olmadığından, 7-ZIP web sitesine ziyaret, kurulum programını indirmek ve manuel yükleme gereklidir.
(DMK)
Reklamcılık
Trend Micros Zero-Day Initiative ekibinin (ZDI) derin bir analizi, CVE-2025-0411 zayıf noktasını şimdiye kadar olduğundan daha kesin olarak tartışıyor. MOTW, “ZoneId = 3” metninin gömülü olduğu “Zone.DiDetifier” adıyla NTFS alternatif veri akışı (ADS) ile ağdan indirilen dosyaları donatır. İnternet gibi “güvensiz olmayan bölge” anlamına gelir. Windows ayrıca bu tür dosyaları Microsoft Defender SmartScreen ile kontrol eder. Windows, bu tür işaretli dosyaları varsayılan olarak sormadan gerçekleştirmez ve böylece kötülük kodunun otomatik olarak çalıştırılmasını önler.
Zayıf nokta: çift arşiv
24.09 sürümünden önce bir arşivi başka bir arşive, 7-Zi'ye paketleyerek MOTW işaretini doğru bir şekilde geçmedi-bu, kullanılan arşiv formatından bağımsız olarak olur. Saldırganlar, MOTW işaretçisi ile donatılmayan malign komut dosyaları veya ikili dosyalar içeren arşivler oluşturmak için bunu kötüye kullanabilirler. Bu, Windows kullanıcılarını saldırılara karşı savunmasız hale getirir, çünkü bu tür içerik daha fazla uyarı verilmeden gerçekleştirilebilir. Microsoft Office'teki malign belgelere karşı koruma da temeldir.
ZDI ekibi, 25 Eylül'de Wild'daki bu güvenlik boşluğunun kötüye kullanılmasını gözlemledi. Muhtemelen Rus suç çeteleri, dumanlı bir kötü amaçlı yazılım kampanyasında Ukrayna hükümetine ve kuruluşlarına saldırdı. Çalışma sırasında e -postaların Ukraynalı makamlardan ve kurumsal hesaplardan geldiği ve belediye kuruluşlarına ve şirketlerini hedeflediği ortaya çıktı.
Listelenen örnek bir e -posta, Ukrayna'nın (SES) Devlet Yönetici Hizmeti adlı bir otoriteden geldi ve Ukrayna, Zaporizhzhia Otomobil Binası (PRJSC Planları Zaz) en büyük otomobil, kamyon ve otobüs üreticilerinden biri Helply Massk'e gitti. Manipüle edilmiş bir arşivde, saldırganlar bir dosyayı “çift” arşivinin iç zip dosyasında bir kelime belgesi olarak kamufle etmek için benzer şekilde görünümlü karakterleri (homoglifler) istismar etti. Kötü amaçlı yazılım kampanyasında, esas olarak “ES” lerin Kiril işaretinin Latin işareti “C” ile benzerliğini kullandılar.
Bir .doc dosyası olarak kamuflaj nedeniyle, alıcıların dosyayı açma olasılığı daha yüksektir, trend Micro tartışır, bu da bir MOTW işaretleyici almamasını sağlamak için 7 ZIP boşluğuna yol açar. Sonuç olarak, JavaScript, Windows komut dosyası dosyaları ve Windows kısayolları gerçekleştirilebilir. Bu şekilde, saldırganlar daha sonra smokeloader kötü amaçlı yazılımları kurbanlara teslim ettiler, burada infazda hiçbir uyarı mekanizması atlamadı.
7-ZIP kullanan herkes kesinlikle bu zayıf noktayı onarmak için 24.09 sürümünü veya yeni güncellemelidir. 7-ZIP'in entegre bir güncelleme mekanizması olmadığından, 7-ZIP web sitesine ziyaret, kurulum programını indirmek ve manuel yükleme gereklidir.
(DMK)