Une vulnérabilité récemment corrigée dans 7-Zip a été exploitée par un groupe de cybercriminels russes dans le cadre de l’invasion en Ukraine. Quelle est cette vulnérabilité ? Comment s’en protéger ? Faisons le point.
La CVE-2025-0411, une vulnérabilité déjà connue et corrigée
N’y allons pas par quatre chemins : la vulnérabilité exploitée en tant que faille zero-day par les cybercriminels russes est désormais connue et elle a même eu le droit à son correctif en novembre 2024. En effet, la vulnérabilité CVE-2025-0411 présente dans 7-Zip et qui a fait parler d’elle en janvier 2025 permet aux attaquants de contourner la protection Mark of the Web (MotW) de Windows. Cela expose les utilisateurs à l’exécution de fichiers malveillants sans avertissement.
Pour rappel, le marqueur MotW identifie les fichiers provenant d’Internet comme potentiellement dangereux, afin de déclencher un avertissement sur Windows. Mais, un défaut dans 7-Zip empêche cette balise (nommée “Zone.Identifier”) de se propager aux fichiers extraits, rendant la protection inefficace.
“Cela permet aux cybercriminels de concevoir des archives contenant des scripts ou exécutables malveillants qui ne sont pas soumis aux restrictions de sécurité, exposant ainsi les utilisateurs de Windows aux attaques.”, explique Peter Girnus, chercheur chez Trend Micro.
Désormais, il est possible de se protéger de cette vulnérabilité grâce à l’utilisation de 7-Zip 24.09, une version publiée le 30 novembre 2024, ou une version supérieure.
Une attaque ciblée contre l’Ukraine
Malgré tout, cette vulnérabilité aura bien profité aux pirates russes qui ont pu l’exploiter pour cibler des agences gouvernementales ukrainiennes. Avant ce correctif de 7-Zip, cette vulnérabilité a été exploitée ne tant que faille zero-day.
“Nous avons découvert cet exploit de type “zero-day” dans la nature le 25 septembre 2024. Cette vulnérabilité a été utilisée pour cibler le gouvernement ukrainien et d’autres organisations ukrainiennes dans le cadre d’une campagne SmokeLoader probablement déployée par des groupes cybercriminels russes.”, précise le rapport de Trend Micro.
Dans le cadre de ces attaques, les pirates ont utilisé des homoglyphes pour tromper l’utilisation. Ces caractères, visuellement proches des lettres ASCII, mais appartenant à un jeu d’encodage différent, permettent de tromper les systèmes de détection en dissimulant l’extension réelle des fichiers malveillants.
Trend Micro explique que les pirates “peuvent utiliser des homoglyphes pour usurper l’identité de sites web légitimes afin d’inciter les utilisateurs à saisir leurs informations d’identification en vue d’une collecte d’informations d’identification.” – Dans le cas présent, l’idée était de faire passer des fichiers exécutables pour des fichiers de documents.
Ces fichiers malveillants ont été envoyés à leurs cibles à partir de comptes de messagerie préalablement compromis et appartenant à diverses institutions ukrainiennes, dont :
Le Service exécutif d’État d’Ukraine (Ministère de la Justice)
L’usine automobile Zaporizhzhia (PrJSC ZAZ)
Le service de transport public de Kyiv (Kyivpastrans)
La société SEA (équipements électriques et électroniques)
L’administration du district de Verkhovyna
L’entreprise d’assurance VUSA
La pharmacie régionale de Dnipro
La société d’eau de Kyiv (Kyivvodokanal)
Le conseil municipal de Zalishchyky
Voici un nouvel exemple concret de l’exploitation d’une vulnérabilité dans le cadre d’une campagne malveillante. Patchez 7-Zip si ce n’est pas déjà fait.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.