[English]Im Archivprogramm 7-Zip für Windows gibt es eine Schwachstelle, die beim Entpacken von Archiven kritisch werden kann. Die "Mark of Web"-Kennzeichnung für Downloads kann beim Entpacken aufgehoben werden. Es gibt bereits ein Update, um die Schwachstelle zu beseitigen.
Anzeige
Schwachstelle CVE-2025-0411 in 7-Zip
Die Zero-Day-Initiative (ZDI) hat den Sicherheitshinweis 7-Zip Mark-of-the-Web Bypass Vulnerability zur Schwachstelle CVE-2025-0411 in 7-ZIP veröffentlicht. Die mit einem CVSs 3.1 Score von 7.0 bewertete Sicherheitslücke ermöglicht Remote-Angreifern die Umgehung des Mark-of-the-Web-Schutzmechanismus von Windows über das Programm 7-Zip.
Mark-of-the-Web (MoW) ist ein von Microsoft entwickelter Schutzmechanismus, bei dem Downloads aus dem Internet in den Dateien mit einem Flag gekennzeichnet werden. Windows kann dann beim Aufruf der Datei eine Warnung anzeigen, dass es sich um einen Download handelt, der unsicher sein könnte.
Um diese Sicherheitslücke auszunutzen, ist allerdings eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei herunterladen und dann öffnen muss.
Die Schwachstelle besteht beim Umgang mit archivierten Dateien. Beim Extrahieren von Dateien aus einem manipulierten Archiv, das das Mark-of-the-Web trägt, übernimmt 7-Zip das Mark-of-the-Web-Flag nicht für die aus dem Archiv extrahierten Dateien.
Ein Angreifer kann diese Sicherheitslücke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen. Die Schwachstelle wurde am 1. Oktober 2024 an den Entwickler gemeldet. Das Ganze ist in 7-Zip Version 24.09 behoben. Diese Version ist seit Ende November 2024 auf dieser Webseite herunterladbar. Danke an den Blog-Leser für den Hinweis auf diesen heise-Beitrag zum Thema.
Anzeige
Anzeige
Ich habe 7-Zip bisher dafür geschätzt das es genau das so gemacht hat.
Ich lade oft Code in Form von Visual Studio Solutions (*.sln) runter und die .resx Files machen beim kompilieren dann immer MOTW Ärger – und das können extrem viele sein wenn man zum Beispiel den .Net Reference Source von MS herunter lädt.
Beim Extrahieren von Dateien aus einem manipulierten Archiv, das das Mark-of-the-Web trägt – den Teil verstehe ich nicht. Dateien sind MOTW weil sie aus dem Web sind – wie Windows das merkt ist mir aber auch nicht ganz klar, vermutlich Treiber Kram.
Ich halte das auch nicht für eine so kritische Sicherheitslücke.
"Ein Angreifer kann diese Sicherheitslücke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen. " – Ja mit Zustimmung bzw. Wohlverhalten des Benutzers, das kann der Angreifer aber auch ohne Komprimierung – mit der Komprimierung kommt der Payload des Angreifers nur besser durch die Filter.
Ich finde das Problem liegt hier nicht bei 7-zip.
Naja, wenn das bei 7zip jetzt gefixt ist, dann musst du einfach nur das Mark-the-Web-Flag vom ZIP entfernen, bevor du es entpackst, und schon ist alles wie bisher. Ja, ich weiß, 4 Klicks mehr…
Und was "Ein Angreifer kann diese Sicherheitslücke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen. " angeht, zumindestens wenn die Admins in dem Unternehmen ihren Job gemacht haben, dann nicht. Applocker.
Unter Windows können seit NT 3.1/NTFS 1.0 beliebige Daten in alternativen Datenströmen (versteckt) gespeichert werden: MoW = Zone.Identifier
[Ob Forks in den Dateisystemen anderer Betriebssysteme auch für MoW genutzt werden, ist mir nicht bekannt.]
https://de.wikipedia.org/wiki/Fork_(Dateisystem)
https://en.wikipedia.org/wiki/NTFS#Alternate_data_stream_(ADS)
https://en.wikipedia.org/wiki/Mark_of_the_Web
Das MoTW funktioniert eh nur bei Datenträgern, die als Dateisystem NTFS haben.
Das MoTW ist nämlich nur ein Flag im ADS von NTFS.
ADS = Alternative Data Stream.
Bei NTFS können so zusätzliche Informationen zu Dateien gespeichert werden.
Es gibt z.B. das Tool ADSViewer, mit dem man sich den ADS einer Datei anschauen kann und auch löschen kann.
Auch das Programm AlternateStreamView kann ADS anzeigen.
Bei FAT/FAT32/exFAT gibts kein ADS und damit auch kein MoTW.
Daher ist eine ganz einfache Möglichkeit, das MoTW los zu werden, die Datei auf einen FAT/FAT32/exFAT-Datenträger zu verschieben.
Stimmt, die setzen das Mark-of-the-Web-Flag auch nicht.
was aus dem Web runtergeladen wird kann immer bösartig sein egal ob mit oder ohne flag ;-P Man sollte halt nicht blindlinks alles laden was bei drei nicht auf dem Baum ist!
Das Gegenteil ist der Fall (wie immer):
Das MOTW wird auf alles gesetzt, was beim 0815-User zu einem derartigen Frust geführt hat, dass diese sinnlose Meldung ohne sie zu lesen von normalen Menschen direkt weg-geclickt wird, so wie das UAC.
Ich habe es für den Fuchs deaktiviert. Wenn man wissen will ob ein installer sicher ist, dann ist die Digitale Signatur schon wertvoller. Bei großen Firmen war die letzte große supply chain attack mit vorlorenem Cert wann? Vor 10 Jahren?
Also ich rede hier nicht von Klitschen in Dubai mit Schlangenöl (Firmen-Name lasse ich weg, lehne mich ungern mit Spott aus dem Fenster).
Was ich an der Sache nicht verstehe: Bei 7Zip wurden in den letzten 12 Monaten immer wieder Sicherheitslücken bekannt, die schon Wochen zuvor, oder gar 2 Versionen und viele Wochen zuvor gefixt wurden. Was ist da los?
hängt jetzt davon ab wie du es meinst:
wenn die Lücke bereits gefixt wurde bevor sie bekannt gemacht wurde, haben die nen gutes React Team… nen Sicherheitsforscher gibt dir ja normalerweise Zeit eine Lücke zu schließen bevor er veröffentlicht (zumindest seriöse)
oder meinst du das da Lücken wieder auftreten die eigentlich bereits geschlossen waren? Dann hätten sie gepfuscht.
Dein Post läßt beide Interpretationen zu.
Besten Dank für den Hinweis Herr Born.
Ich komme momentan nicht auf die Homepage, hat zufällig sonst jemand noch das gleiche Problem?
Seit November schon behoben, oder bin ich falsch?
24.09 2024-11-29
————————-
– The default dictionary size values for LZMA/LZMA2 compression methods were increased:
dictionary size compression level
v24.08 v24.09 v24.09
32-bit 64-bit
8 MB 16 MB 16 MB -mx4
16 MB 32 MB 32 MB -mx5 : Normal
32 MB 64 MB 64 MB -mx6
32 MB 64 MB 128 MB -mx7 : Maximum
64 MB 64 MB 256 MB -mx8
64 MB 64 MB 256 MB -mx9 : Ultra
The default dictionary size values for 32-bit versions of LZMA/LZMA2 don't exceed 64 MB.
– 7-Zip now can calculate the following hash checksums: SHA-512, SHA-384, SHA3-256 and MD5.
– APM and HFS support was improved.
– If an archive update operation uses a temporary archive folder and
the archive is moved to the destination folder, 7-Zip shows the progress of moving
the archive file, as this operation can take a long time if the archive is large.
– The bug was fixed: 7-Zip File Manager didn't propagate Zone.Identifier stream
for extracted files from nested archives (if there is open archive inside another open archive).
– Some bugs were fixed.
Was besagt denn der letzte Absatz des Blog-Beitrags?
wann wurde bei 7-zip was gefixt? wenn man 7zip für win11 downloaden möchte, bekommt man noch immer eine version vom 29.11.2024.
da ich ein laie bin: ist 7zip jetzt meine erste wahl oder nicht mehr? und wenn nicht mehr, was dann?
liebe grüße!
stan
edit: oder wurde die version überarbeitet OHNE das datum zu ändern?
ist für mich als laie eben unnötig schwierig gemacht,wenn es so ist
edit2: hab am 7.1.2025 7zip gelöscht und neugeladen…
Stand doch im Text – die neue Version kam am 29.11.2024 – die Offenlegung erfolgte aus Sicherheitsgründen erst im Januar 2025.
Habt ihr in 7-Zip mal unter Extras, Optionen, Reiter "7-Zip"
in der Zeile "Vererbe Zone.id-Strom" geschaut, wie die Listbox-Option eingestellt ist?
Im Standard steht da "* Nein" (wegen besserer Geschwindigkeit).
Zone.Identifier (also das "Mark-of-the-Web"-Flag) wird *nicht* ausgewertet und *nicht* geschrieben.
Erst wenn man das auf "Ja" oder auf "Für Office-Dateien" umstellt, dann wird das "Mark-of-the -Web"-Flag ausgewertet und geschrieben.
Updaten auf Version 24.09 reicht also nicht aus.
Man muss auch zusätzlich diese Option richtig einstellen, sonst ist diese Schwachstelle weiterhin nicht gefixt.
Das "Mark-of-the -Web"-Flag triggert auch nur die SmartScreen-Funktion von Windows und schickt Office-Dateien dann in den "Protected View"-Modus ohne Macros und nur mit Read-only-Rechten.
Der Defender ist aber trotzdem aktiv, auch wenn das "Mark-of-the -Web"-Flag fehlt, also SmartScreen nicht aktiv wird.
Ausführen von beliebigem Code ist also nicht so einfach, nur weil dieses "Mark-of-the -Web"-Flag fehlt.
Es gab aber in 7-Zip einen weiteren Bug, der einen Integer-Unterlauf verursachen konnte und dann deswegen beliebigen Code platzieren konnte.
Beide Fehler zusammen sind dann durchaus ein Problem.
Bei NanaZip 3.1 noch nicht gefixt (basiert auf 7zip 24.08) in der aktuellen NanaZip preview 5 ist es gefixt