在广受欢迎的文件压缩工具 WinZip 中发现了一个安全漏洞,这使数百万用户面临着代码被悄然执行的风险。该漏洞被追踪编号为 CVE-2025-33028,它能够绕过 Mark-of-the-Web(MotW)机制,让攻击者能够通过精心构造的压缩文件包来传递恶意有效载荷,且不会触发 Windows 通常的安全提示。
MotW 是 Windows 系统的一项安全功能,它会用一个特殊的备用数据流来标记从互联网上下载的文件。这一标记确保了当打开此类文件(尤其是包含宏或可执行文件的那些)时,Windows 系统会在它们运行之前发出警告。这是抵御网络钓鱼和包含恶意软件的文档的一道至关重要的第一道防线。
然而,在 CVE-2025-33028 这个漏洞面前,这一安全防护机制完全失效了。
根据该漏洞披露信息,“当打开从互联网下载的压缩文件包时,WinZip 不会将 Mark-of-the-Web 保护机制应用到解压后的文件上。”
当用户下载一个恶意压缩文件包(例如.zip、.7z 格式)并使用 WinZip 29.0 版本(64 位)进行解压时,压缩包内的文件会失去它们的 MotW 标签。这使得这些文件在 Windows 系统看来是安全的 —— 即便它们嵌入了危险的宏或脚本。
以下是攻击者利用这一漏洞的方式:
1.恶意压缩包创建:攻击者精心制作一个包含有害文件(如经过恶意处理的.docm 格式,即启用宏的 Word 文档)的恶意压缩文件包(例如.zip 或.7z 格式)。
2.传播与 MotW 标记:然后将这个压缩包进行分发,并让用户从互联网上下载。由于是从互联网下载,这个压缩包会被标记上 MotW。
3.WinZip 解压:用户使用 WinZip 打开下载的压缩包并解压其内容。
4.Web标记 移除:关键的是,WinZip 会从解压后的恶意文件上移除 MotW 标签。
5.恶意代码执行:现在,解压后的文件会被当作一个受信任的本地文件,这使得其中的恶意宏或脚本能够在不触发安全警告的情况下得以执行。
这一漏洞可能会造成严重后果:
1.代码执行:攻击者可以在受害者的系统上执行任意代码,有可能安装恶意软件或控制这台机器。
2.权限提升:利用该漏洞可能使攻击者在用户环境中获得提升后的权限,使他们能够执行通常不被授权的操作。
3.信息泄露:攻击者可以访问并窃取存储在被攻陷系统上的敏感数据。
截至撰写本文时,WinZip Computing 公司尚未发布官方修复方案。强烈敦促用户:
1.避免使用 WinZip 打开不可信的压缩文件包。
2.使用能够支持 MotW 机制的替代压缩工具(例如 Windows 系统内置的解压工具)。
3.部署能够检测恶意宏执行的终端防护软件。
发表评论
您还未登录,请先登录。
登录