CVE-2025-11001: NHS Alerta sobre Exploit PoC para Vulnerabilidade de RCE Baseada em Link Simbólico no 7-Zip

Resumo

Os defensores divulgaram uma vulnerabilidade de execução remota de código no 7-Zip (CVE-2025-11001), acionada por arquivos ZIP especialmente elaborados contendo links simbólicos. A NHS England Digital lançou um aviso observando a disponibilidade do código de exploração de prova de conceito (PoC), enquanto enfatizava que nenhuma exploração confirmada in-the-wild havia sido detectada naquele momento. O problema afeta principalmente ambientes Windows e pode ser explorado por adversários que obtenham acesso a uma conta de serviço. Uma atualização subsequente do aviso esclareceu que, apesar das preocupações iniciais, nenhuma exploração ativa havia sido observada.

Análise CVE-2025-11001

Pesquisadores determinaram que a CVE-2025-11001 origina-se de uma falha de travessia de caminho em como o 7-Zip processa links simbólicos incorporados em arquivos ZIP. A Zero Day Initiative da Trend Micro destacou o impacto potencial, e um pesquisador de segurança publicou uma PoC mostrando a execução prática de código por meio do bug. A NHS England Digital acompanhou a telemetria para quaisquer sinais de exploração e emitiu orientações baseadas nessas descobertas de pesquisa e relatórios de inteligência de ameaças.

Mitigação

Para mitigar o risco, os usuários devem atualizar para a versão 25.00 do 7-Zip, que resolve tanto a CVE-2025-11001 quanto a CVE-2025-11002. As organizações devem priorizar essa atualização em sistemas onde o 7-Zip é executado com privilégios elevados ou ferramentas de desenvolvedor. Medidas adicionais de reforço incluem bloqueio da execução de arquivos não confiáveis, limitação de quem pode executar o 7-Zip em hosts sensíveis e monitoramento de comportamento de processo incomum relacionado ao manuseio de arquivos.

Resposta

As equipes de detecção e resposta devem monitorar processos do 7-Zip iniciados a partir de caminhos não confiáveis e para a criação anômala de links simbólicos em diretórios temporários ou graváveis por usuários. Gere alertas quando processos de alta privilégio se originarem da atividade do 7-Zip e correlacione esses sinais com Logs de Eventos do Windows para identificar possíveis tentativas de execução de código. Certifique-se de que o patch mais recente do 7-Zip está implantado e reforce políticas de execução de menor privilégio em todos os endpoints.

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

• Narrativa do Ataque & Comandos:
  Um adversário cria um arquivo malicioso nomeado “7‑Zip 21.02_exploit.zip” que contém um link simbólico apontando para C:WindowsSystem32calc.exe. Quando a vítima extrai o arquivo com uma versão vulnerável do 7‑Zip (21.02), o link simbólico é resolvido, fazendo com que a carga controlada pelo invasor seja gravada em um local privilegiado e posteriormente executada, alcançando execução de código remoto via CVE‑2025‑11001.

  Etapas realizadas na estação de trabalho do atacante (simuladas localmente):

  1. Crie um link simbólico link_to_calc que aponta para C:WindowsSystem32calc.exe.
  2. Empacote o symlink em um arquivo ZIP cujo nome inclua a string exata “7‑Zip 21.02”.
  3. Solte o ZIP no host de destino (simulado copiando para uma pasta monitorada).

• Script de Teste de Regressão: O seguinte script PowerShell reproduz as ações acima na máquina de destino. Pressupõe que o usuário atual tem direitos para criar links simbólicos (SeCreateSymbolicLinkPrivilege).

  # Script de simulação – cria um ZIP malicioso que deve acionar a regra Sigma
  # Pré-requisito: Execute como Administrador para criar um symlink
  
  # 1. Defina caminhos
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. Prepare o diretório de trabalho
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. Crie o link simbólico (tipo de arquivo)
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. Verifique a criação do link
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "Falha ao criar link simbólico."
      exit 1
  }
  
  # 5. Adicione o symlink a um arquivo ZIP usando o 7‑Zip (pressupõe que 7z.exe está no PATH)
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. Limpe o link temporário (mantenha o ZIP para detecção)
  Remove-Item $linkPath -Force
  
  Write-Host "ZIP malicioso criado em $zipPath"

• Comandos de Limpeza: Remova o artefato após verificação.

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "Limpeza concluída."