Июньский «В тренде VM»: уязвимости в Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip / Комментарии / Хабр

Уязвимость заключается в том, что при распаковке файлов из скачанного архива на них не проставляется метка Mark-of-the-Web. Поэтому запуск распакованного зловреда не будет блокироваться механизмами безопасности Windows. Если помните, в январе была похожая уязвимость CVE-2025-0411. Там проблема была с запуском файлов из интерфейса архиватора, её пофиксили. А в данном случае проблема с полностью распакованными архивами. И эту проблему ИСПРАВЛЯТЬ НЕ БУДУТ! 🤷‍♂️

Сколько раз эту "уязвимость" (RCE, не иначе) будут переоткрывать в контексте 7-Zip?

Подсказка: Zone.Identifier — необходимый, но не единственный признак того, что файл был загружен из Интернета. Отсутствие вызовов GetStorageDependencyInformation() и GetZoneFromAlternateDataStreamEx() равно уязвимость, в вашей системе координат. И опять почти все архиваторы "уязвимы", как так! А ведь именно проверка и через GetStorageDependencyInformation() реализована для MotW в Windows (кто не понял: так проверяется MotW в смонтированном контейнере VHD/VHDX, признак наследуется от файла-контейнера, даже если внутри у файла нет ADS)!