Уязвимость архиватора 7-Zip использовалась во время российского вторжения в Украину.

Исследователи заявили о недавно обнаруженной нулевой дневной уязвимости в архивном инструменте 7-Zip, которая активно использовалась в ходе продолжающегося вторжения России на Украину. Эта уязвимость позволяла российской киберпреступной группировке обойти защиту Windows, предназначенную для ограничения выполнения файлов, скачанных из Интернета.

Этот механизм защиты известен как MotW (Mark of the Web). Он работает путем добавления тега “Zone.Identifier” ко всем файлам, загруженным из Интернета или с сетевого ресурса. Этот тег представляет собой NTFS Alternate Data Stream в виде ZoneID=3 и подвергает файл дополнительной проверке Windows Defender SmartScreen, а также налагает ограничения на его выполнение.

Уязвимость 7-Zip позволяла киберпреступникам обойти эти защиты. Эксплойты работали путем внедрения исполняемого файла в один архив, а затем этого архива — во внешний архив. Хотя внешний архив содержал тег MotW, внутренний архив оставался неподписанным.

Уязвимость, отслеживаемая как CVE-2023-4111, была исправлена с выходом версии 24.09 в конце ноября.