Trusted Design

CVE-2025-0411 の詳細

CVEの情報

説明:
7-Zip Mark-of-the-Web Bypass Vulnerability. This vulnerability allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user. Was ZDI-CAN-25456.

CVE更新日: 2025-01-25 05:15:09.533000

CVSSバージョン: 3.1

CVSSスコア: 7.0

KEVの情報

KEV更新日: 2025-02-06

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.670710000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2025-0411は、7-ZipにおけるMark-of-the-Web (MoTW) バイパスの脆弱性です。以下に詳細を解説します。

1. 脆弱性の概要

CVE-2025-0411は「7-Zip Mark-of-the-Web Bypass Vulnerability」と名付けられた脆弱性です。この脆弱性は、7-Zipが細工されたアーカイブファイルからファイルを展開する際に、WindowsのMark-of-the-Web (MoTW) 保護メカニズムを適切に伝播しないことに起因します。これにより、攻撃者はセキュリティ警告を回避して、ユーザーの権限で任意のコードを実行することが可能になります。特に、二重にアーカイブされたファイルでこの問題が発生すると報告されています。

1.1 影響

この脆弱性が悪用されると、以下のような影響が生じる可能性があります。

  • ユーザーレベルでの任意のコード実行。
  • マルウェア(SmokeLoaderなど)の配信と実行。
  • Windowsのセキュリティ制御(SmartScreenなど)のバイパス。
  • 機密情報の漏洩、データの追加または変更、サービス拒否 (DoS)。
  • ランサムウェアの展開、データ窃取、システム全体の侵害。

1.2 深刻度

  • 深刻度: 高 (High)
  • CVSSv3スコア: 7.0
  • CVSSベクトル: AV:L/AC:H/Au:N/C:C/I:C/A:C
    • Attack Vector (AV): Local (攻撃はローカルアクセスを必要とします)
    • Attack Complexity (AC): High (攻撃の複雑性は高い)
    • Privileges Required (PR): None (特権は不要)
    • User Interaction (UI): Required (ユーザーの操作が必要)
    • Scope (S): Unchanged (スコープは変更なし)
    • Confidentiality Impact (C): High (機密性への影響は高い)
    • Integrity Impact (I): High (完全性への影響は高い)
    • Availability Impact (A): High (可用性への影響は高い)
  • この脆弱性はCISAのKnown Exploited Vulnerabilitiesカタログに掲載されており、活発に悪用されていることが確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンに直接影響するものではなく、主に7-Zipのバージョンが影響を受けます。 * 7-Zipバージョン 24.09より前のバージョン * Windows Mark-of-the-Web (MoTW) 保護メカニズムに依存するWindows環境

2.2 影響を受ける設定

  • Mark-of-the-Web (MoTW) フラグが付けられたアーカイブを7-Zipで処理するシステム。
  • インターネットからダウンロードされたアーカイブをユーザーが展開する可能性のあるエンドポイント。
  • 7-Zipコンポーネントを使用する一部のサードパーティ製品も影響を受ける可能性があります。例えば、enaio® classifyおよびenaio® classify-pro(Insiders Technologies社の製品に基づく)、および複数のNetApp製品が挙げられます。

3. 影響を受けた時の兆候

  • 7-Zipを介して展開されたファイルが、信頼できないソースやインターネットからダウンロードされたにもかかわらず、Mark-of-the-Web (MoTW) のマークを欠いている場合にアラートが生成される。
  • 疑わしいファイル活動、特に7-Zipアーカイブに関連する活動の監視。
  • 予期しないプログラムの実行や、意図しない場所へのファイルの作成など、一般的なマルウェア感染の兆候。
  • ウクライナの政府機関や組織を標的としたスピアフィッシングキャンペーンや、ホモグラフ攻撃(視覚的に類似した文字を用いてファイル名を偽装する攻撃)の痕跡。

4. 推奨対策

4.1 本対策

  • 7-Zipをバージョン24.09以降に直ちに更新する。
    • これにより、展開されたファイルにWindows Mark-of-the-Webが正しく適用されるようになります。7-Zipには自動更新機能がないため、手動での更新が必要です。

4.2 暫定回避策(緩和策)

  • 信頼できないソースからのアーカイブファイルは開かないようにする。
  • 疑わしいファイルは、展開する前にスキャンしたり、サンドボックス環境で検査したりする。
  • アンチウイルスソフトウェアおよびエンドポイント保護ソリューションを常に最新の状態に保つ。
  • 従業員に対し、未知のソースからのファイルを開くリスクについて注意喚起し、フィッシングの試みを認識して報告するためのトレーニングを実施する。
  • グループポリシーやエンドポイントセキュリティツールを活用して、適切な検証なしにインターネットからダウンロードされたファイルの実行を制限する。
  • エンドポイント検出と対応 (EDR) ツールを使用して、7-Zipアーカイブに関連する疑わしいファイル活動を監視する。
  • 非NTFSコンテナ形式(.iso、.img、.vhd、.vhdxなど)はMark-of-the-Webをサポートしないため、信頼できないソースからこれらをマウントすることは避ける。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る