พบช่องโหว่ใน 7-Zip ที่สามารถทำให้ผู้ไม่หวังดี bypass การป้องกันแบบ Mark of the Web (MotW) ของ Windows โดยผู้ไม่หวังดีจากรัสเซียใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนกันยายน 2024
นักวิจัยจาก Trend Micro ระบุว่า ช่องโหว่นี้ถูกใช้ในแคมเปญมัลแวร์ SmokeLoader ที่มุ่งเป้าไปยังหน่วยงานของรัฐบาลยูเครน และองค์กรเอกชนในประเทศ
Mark of the Web เป็นฟีเจอร์ความปลอดภัยของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้งานว่าไฟล์ที่กำลังเรียกใช้งานมาจากแหล่งที่ไม่น่าเชื่อถือ โดยจะแสดงกล่องข้อความให้ยืนยันเพิ่มเติม การ Bypass การป้องกัน MoTW ทำให้ไฟล์อันตรายสามารถทำงานบนเครื่องของเหยื่อได้โดยไม่มีการแจ้งเตือน
เมื่อดาวน์โหลดเอกสาร หรือไฟล์ executables จากเว็บ หรือได้รับเป็นไฟล์แนบทางอีเมล Windows จะเพิ่ม 'Zone.Id' alternate data stream พิเศษที่เรียกว่า Mark-of-the-Web (MoTW) ลงในไฟล์นั้น
เมื่อพยายามเปิดไฟล์ที่ดาวน์โหลดมา Windows จะตรวจสอบว่าไฟล์นั้นมี MoTW อยู่หรือไม่ หากมี ระบบจะแสดงคำเตือนเพิ่มเติมเพื่อถามผู้ใช้งานว่าต้องการเรียกใช้งานไฟล์นั้นหรือไม่ ในทำนองเดียวกัน เมื่อเปิดเอกสารใน Word หรือ Excel ที่มี MoTW อยู่ Microsoft Office จะแสดงคำเตือนเพิ่มเติม และปิดการใช้งานมาโครอัตโนมัติ
เนื่องจากฟีเจอร์ความปลอดภัยของ Mark-of-the-Web ป้องกันไม่ให้ไฟล์ที่เป็นอันตรายทำงานโดยอัตโนมัติ ผู้ไม่หวังดีจึงมักพยายามหาวิธี Bypass MoTW เพื่อให้ไฟล์ทำงานได้โดยอัตโนมัติ
เป็นเวลาหลายปีที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ร้องขอให้ 7-Zip เพิ่มการรองรับ Mark-of-the-Web แต่จนถึงปี 2022 ฟีเจอร์นี้จึงค่อยถูกเพิ่มเข้ามา
การ Bypass MoTW ถูกนำไปใช้ในการโจมตี
ทีม Zero Day Initiative (ZDI) ของ Trend Micro ค้นพบช่องโหว่นี้เป็นครั้งแรกเมื่อวันที่ 25 กันยายน 2024 โดยมีหมายเลข CVE-2025-0411 และพบว่ามีการใช้ช่องโหว่นี้ในการโจมตีโดยกลุ่มผู้ไม่หวังดีจากรัสเซีย
ผู้ไม่หวังดีใช้ประโยชน์จาก CVE-2025-0411 โดยใช้ไฟล์ที่ถูก archive สองชั้น (ไฟล์ archive ที่อยู่ภายในไฟล์ archive อีกที) ซึ่งทำให้ไฟล์ที่มีการตั้งค่า MoTW ไม่สามารถส่งต่อ flag ไปยังไฟล์ข้างในได้ ส่งผลให้ไฟล์อันตรายสามารถทำงานได้โดยที่ระบบไม่ได้แสดงคำเตือนใด ๆ
ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษจะถูกส่งไปยังเป้าหมายผ่านอีเมลฟิชชิ่งจากบัญชีรัฐบาลยูเครนที่ถูกโจมตี เพื่อหลีกเลี่ยงการตรวจสอบด้านความปลอดภัย และทำให้ดูเหมือนว่าเป็นไฟล์ที่น่าเชื่อถือ
ผู้ไม่หวังดีใช้เทคนิค homoglyph เพื่อซ่อน payloads ภายในไฟล์ 7-Zip ทำให้ไฟล์เหล่านั้นดูเหมือนเอกสาร Word หรือ PDF ที่ไม่เป็นอันตราย
ถึงแม้ว่าการเปิดไฟล์ archive หลักจะทำให้ MoTW flag ถูกส่งต่อ แต่ช่องโหว่ CVE-2025-0411 ทำให้ flag ไม่ถูกส่งต่อไปยังเนื้อหาภายในไฟล์ archive ภายใน ซึ่งทำให้สคริปต์ และไฟล์ executables ที่เป็นอันตรายสามารถเปิดได้โดยตรง
ขั้นตอนสุดท้ายนี้จะทริกเกอร์เพย์โหลด SmokeLoader ซึ่งเป็นมัลแวร์ dropper ที่เคยถูกใช้ในอดีตในการติดตั้ง info-stealers, trojans, ransomware หรือการสร้าง backdoors เพื่อเข้าถึงระบบได้อย่างต่อเนื่อง
Trend Micro ระบุว่าการโจมตีเหล่านี้ส่งผลกระทบต่อองค์กรต่าง ๆ ดังนี้
State Executive Service of Ukraine (SES) – กระทรวงยุติธรรม
Zaporizhzhia Automobile Building Plant (PrJSC ZAZ) – ผู้ผลิตรถยนต์, รถบัส และรถบรรทุก
Kyivpastrans – บริการขนส่งสาธารณะของ Kyiv
SEA Company – ผู้ผลิตเครื่องใช้ไฟฟ้า, อุปกรณ์ไฟฟ้า และอิเล็กทรอนิกส์
Verkhovyna District State Administration – การบริหารของภูมิภาค Ivano-Frankivsk
VUSA – บริษัทประกันภัย
Dnipro City Regional Pharmacy – ร้านขายยาภูมิภาคของเมือง Dnipro
Kyivvodokanal – บริษัทจัดหาน้ำประปาของ Kyiv
Zalishchyky City Council – สภาเมือง Zalishchyky
อัปเดต 7-Zip
แม้ว่าการค้นพบ zero-day จะเกิดขึ้นในเดือนกันยายน แต่ Trend Micro ใช้เวลาจนถึงวันที่ 1 ตุลาคม 2024 ในการแชร์ proof-of-concept (PoC) ที่ใช้งานได้กับนักพัฒนาของ 7-Zip
นักพัฒนาของ 7-Zip แก้ไขช่องโหว่นี้ผ่านการอัปเดตในเวอร์ชัน 24.09 ซึ่งปล่อยออกมาในวันที่ 30 พฤศจิกายน 2024 อย่างไรก็ตาม เนื่องจาก 7-Zip ไม่มีฟีเจอร์อัปเดตอัตโนมัติ
ดังนั้นจึงขอแนะนำให้ผู้ใช้งานดาวน์โหลดเวอร์ชันล่าสุดเพื่อให้แน่ใจว่าได้รับการป้องกันจากช่องโหว่นี้
ที่มา : bleepingcomputer
You must be logged in to post a comment.