ptsecurity Feb 12 at 12:59

В тренде VM: под угрозой продукты Microsoft и Fortinet, а также архиватор 7-Zip

7 min

8.9K

Positive Technologies corporate blogInformation Security*Research and forecasts in IT*Software

Digest

+20

Comments 14

unreal_undead2 Feb 12 at 13:01

Насчёт 7zip не понял - придумали, как создать архив, заставляющий при распаковке исполнить заданный код?

RichardMerlock Feb 12 at 13:05

Нет, просто винда не агрится на запуск распакованного файла. У микрософт крутая защита в виде предупреждения о ненадёжном источнике - метка "файл из интернетов". А 7-zip такую не ставит при распаковке скачанного архива.

MonkAlex Feb 12 at 13:15

Просто если взять и запустить файл из архива, то оказывается можно навредить компьютеру. 7zip тут ничем особенным не отличается, можете взять iso образ и смонтировать, с приличным шансом содержимое внезапно тоже "обойдет" защиту.

unreal_undead2 Feb 12 at 13:38

Возможность пользователя запустить без предупреждений любой файл из интернета - уже уязвимость?

MonkAlex Feb 12 at 14:27

Да, именно этот род "уязвимостей" упоминается в статье.

UFO landed and left these words here

unreal_undead2 Feb 13 at 09:05

Угу, и вообще жить вредно, от этого умирают.

ptsecurity Feb 12 at 13:41

Не совсем. Пользователь под Windows должен скачать архив со зловредом, открыть его в 7-Zip, затем открыть вложенный архив и во вложенном архиве запустить зловредный файл. Тогда этот запуск не заблокируется функцией SmartScreen Microsoft Defender-а. То есть атака упрощается.

Wesha Feb 21 at 01:32

Пользователь под Windows должен скачать архив со зловредом, открыть его в 7-Zip, затем открыть вложенный архив и во вложенном архиве запустить зловредный файл.

Так вот он какой — албанский вируc!

Sfinx88 Feb 12 at 13:58

Думаю, для опытных пользователей ПК это - не уязвимость. Опытные пользователи всегда осторожны, при загрузке файла из интернета. Однако, для людей, слабо владеющих компьютерами - отсутствие данной защиты - потенциально может привести к опасности заражения, но на современных версиях Windows защита все равно сработает, если сигнатура данного файла есть в базе встроенного антивируса.

DGG Feb 12 at 14:10

На месте Майкрософта, я бы агрил Defender на содержимое любого архива вложенного в другой архив, и в том числе выводил предупреждения. Это само по себе уже подозрительно.

Armitage1986 Feb 21 at 12:21

Это в том числе и tar.gz/tar.xz, которые имеют вложенный tar.

Я не видел никого, кого бы предупреждение о том, что открываемый файл загружен из интернета, побудило бы этот файл не открывать. Как минимум потому, что пользователь в курсе, потому что он только что самолично этот файл загрузил, и подобные напоминания об очевидном воспринимаются исключительно как назойливый шум, делая подобную "защиту" бесполезной фикцией.

unreal_undead2 Feb 12 at 14:32

Эта защита даёт ложную уверенность, что при отсутствии предупреждений файл безопасен.

UFO landed and left these words here