Comment se protéger de la vulnérabilité CVE-2025-0411 dans 7-Zip ?
Une vulnérabilité corrigée dans 7-Zip exploitée par des cybercriminels russes
Une vulnérabilité récemment corrigée dans 7-Zip a été exploitée par un groupe de cybercriminels russes dans le cadre de l’invasion en Ukraine. Quelle est cette vulnérabilité ? Comment s’en protéger ? Faisons le point.
La CVE-2025-0411, une vulnérabilité déjà connue et corrigée
N’y allons pas par quatre chemins : la vulnérabilité exploitée en tant que faille zero-day par les cybercriminels russes est désormais connue et elle a même eu le droit à son correctif en novembre 2024. En effet, la vulnérabilité CVE-2025-0411 présente dans 7-Zip et qui a fait parler d’elle en janvier 2025 permet aux attaquants de contourner la protection Mark of the Web (MotW) de Windows. Cela expose les utilisateurs à l’exécution de fichiers malveillants sans avertissement.
“Cela permet aux cybercriminels de concevoir des archives contenant des scripts ou exécutables malveillants qui ne sont pas soumis aux restrictions de sécurité, exposant ainsi les utilisateurs de Windows aux attaques.”, explique Peter Girnus, chercheur chez Trend Micro.
Désormais, il est possible de se protéger de cette vulnérabilité grâce à l’utilisation de 7-Zip 24.09, une version publiée le 30 novembre 2024, ou une version supérieure.
Une attaque ciblée contre l’Ukraine
Malgré tout, cette vulnérabilité aura bien profité aux pirates russes qui ont pu l’exploiter pour cibler des agences gouvernementales ukrainiennes. Avant ce correctif de 7-Zip, cette vulnérabilité a été exploitée ne tant que faille zero-day.
Dans le cadre de ces attaques, les pirates ont utilisé des homoglyphes pour tromper l’utilisation. Ces caractères, visuellement proches des lettres ASCII, mais appartenant à un jeu d’encodage différent, permettent de tromper les systèmes de détection en dissimulant l’extension réelle des fichiers malveillants.
Trend Micro explique que les pirates “peuvent utiliser des homoglyphes pour usurper l’identité de sites web légitimes afin d’inciter les utilisateurs à saisir leurs informations d’identification en vue d’une collecte d’informations d’identification.” – Dans le cas présent, l’idée était de faire passer des fichiers exécutables pour des fichiers de documents.
Ces fichiers malveillants ont été envoyés à leurs cibles à partir de comptes de messagerie préalablement compromis et appartenant à diverses institutions ukrainiennes.
Voici un nouvel exemple concret de l’exploitation d’une vulnérabilité dans le cadre d’une campagne malveillante. Patchez 7-Zip si ce n’est pas déjà fait.
Source : www.it-connect.fr
