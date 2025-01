Il 19 gennaio 2025, gli esperti di Trend Micro hanno richiamato l’attenzione di professionisti e utenti finali su un problema di sicurezza che interessa le versioni di 7-Zip antecedenti alla release 24.09. Utilizzando un archivio compresso e inducendo le vittime ad aprirlo con una versione vulnerabile di 7-Zip, aggressori remoti possono eludere le protezioni del sistema operativo progettate per avvisare o bloccare l’esecuzione di file provenienti da fonti non attendibili.

Il problema si manifesta quando l’utente, avvalendosi di una release vulnerabile di 7-Zip, estrae file da un archivio che porta il contrassegno “Mark-of-the-Web” (MotW). Questo contrassegno, applicato a tutti i file scaricati da Internet, serve a identificare potenziali rischi e attivare misure di sicurezza aggiuntive. In alcuni casi, tuttavia, 7-Zip non trasferisce il contrassegno ai file estratti sul sistema locale, facendo sì che siano aperti senza che Windows mostri alcun messaggio d’allerta. Esattamente come se provenissero dal sistema locale.

La vulnerabilità critica che affligge alcune versioni di 7-Zip

Come spiegato nell’articolo citato in precedenza, già da giugno 2022 7-Zip supporta il meccanismo MotW: il software applica automaticamente il marker che indica la provenienza di ciascun file a tutti i file estratti dagli archivi compressi scaricati dalla rete Internet.

Trend Micro mette tuttavia in evidenza che le release di 7-Zip antecedenti la 24.09 non gestiscono adeguatamente il contrassegno MotW per gli archivi nidificati, ossia quando un archivio compresso è inserito all’interno di un altro. Questa anomalia può essere sfruttata dagli attaccanti per bypassare i controlli di sicurezza e distribuire codice malevolo.

Aggiornare 7-Zip per scongiurare qualunque rischio

L’ideatore di 7-Zip, Igor Pavlov, ha rilasciato qualche tempo fa la versione 24.09 che risolve anche il problema segnalato oggi da Trend Micro (identificativo CVE-2025-0411). L’installazione dell’aggiornamento più recente di 7-Zip garantisce che i contrassegni MotW siano propagati correttamente anche ai file estratti da archivi nidificati, eliminando la possibilità di sfruttare questa lacuna.

Sottolineiamo che 7-Zip non dispone di un meccanismo di aggiornamento automatico, un aspetto critico che espone gli utenti a rischi qualora non provvedano manualmente all’aggiornamento del software. Ed è proprio quello che sta avvenendo perché, sempre secondo Trend Micro, sono tanti gli utenti che ad oggi non hanno ancora scaricato e applicato l’aggiornamento di 7-Zip alla release 24.09.

Attacchi basati su vulnerabilità simili

La falla CVE-2025-0411 individuata nelle precedenti versioni di 7-Zip non rappresenta un caso isolato. In passato, altre vulnerabilità legate alla gestone del MotW sono state utilizzate per distribuire malware.

Basti pensare che il problema classificato con l’identificativo CVE-2024-38213 è stato usato dagli operatori del malware DarkGate per aggirare SmartScreen e distribuire software malevolo mascherato da applicazioni legittime (ad esempio: iTunes, NVIDIA, Notion).

Ancora, la falla CVE-2024-21412 – sfruttata dal gruppo hacker Water Hydra (DarkCasino) – ha colpito investitori e trader con il trojan DarkMe RAT.

Credit immagine in apertura: iStock.com – Henrik5000