CVE-2025-11001 : Le NHS met en garde contre l’exploitation de type PoC pour la vulnérabilité RCE basée sur des liens symboliques dans 7-Zip

Résumé

Les défenseurs ont divulgué une vulnérabilité d’exécution de code à distance dans 7-Zip (CVE-2025-11001), déclenchée par des archives ZIP spécialement conçues contenant des liens symboliques. NHS England Digital a publié un avis notant la disponibilité d’un code d’exploitation de preuve de concept (PoC), tout en soulignant qu’aucune exploitation confirmée active n’avait été détectée à ce moment-là. Le problème impacte principalement les environnements Windows et peut être exploité par des adversaires qui obtiennent l’accès à un compte de service. Une mise à jour de l’avis a précisé que, malgré les préoccupations initiales, aucune exploitation active n’avait été observée.

Analyse de CVE-2025-11001

Les chercheurs ont déterminé que CVE-2025-11001 provient d’une faille de traversée de chemin dans la façon dont 7-Zip traite les liens symboliques intégrés dans les fichiers ZIP. L’Initiative Zero Day de Trend Micro a souligné l’impact potentiel, et un chercheur en sécurité a publié un PoC montrant une exécution de code pratique via le bug. NHS England Digital a suivi la télémétrie pour tout signe d’exploitation et a publié des directives basées sur ces conclusions de recherche et les rapports d’intelligence sur la menace.

Atténuation

Pour atténuer le risque, les utilisateurs doivent passer à la version 25.00 de 7-Zip, qui résout à la fois CVE-2025-11001 et CVE-2025-11002. Les organisations doivent prioriser cette mise à jour sur les systèmes où 7-Zip fonctionne avec des privilèges élevés ou des outils de développement. Des mesures de renforcement supplémentaires incluent le blocage de l’exécution des archives non fiables, la limitation de ceux qui peuvent exécuter 7-Zip sur des hôtes sensibles, et la surveillance des comportements de processus inhabituels liés à la gestion des archives.

Réponse

Les équipes de détection et de réponse doivent surveiller les processus 7-Zip lancés depuis des chemins non fiables et la création de liens symboliques anormaux dans des répertoires temporaires ou accessibles en écriture par l’utilisateur. Générer des alertes lorsque des processus à haut privilège proviennent d’une activité 7-Zip et corréler ces signaux avec les journaux des événements Windows pour identifier des tentatives d’exécution de code potentielles. Assurez-vous que le dernier correctif 7-Zip est déployé et renforcez les politiques d’exécution à privilèges minimaux sur tous les points de terminaison.

Exécution de simulation

Prérequis : La vérification préalable de télémétrie et de base doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

• Narratif de l’attaque & Commandes :
  Un adversaire crée une archive malveillante nommée « 7-Zip 21.02_exploit.zip » contenant un lien symbolique pointant vers C:WindowsSystem32calc.exe. Lorsque la victime extrait l’archive avec une version vulnérable de 7-Zip (21.02), le lien symbolique est résolu, provoquant l’écriture de la charge utile contrôlée par l’attaquant dans un emplacement privilégié et son exécution ultérieure, réalisant une exécution de code à distance via CVE-2025-11001.

  Étapes effectuées sur la station de travail de l’attaquant (simulé localement) :

  1. Créer un lien symbolique link_to_calc qui pointe vers C:WindowsSystem32calc.exe.
  2. Entrez le lien symbolique dans un fichier ZIP dont le nom inclut la chaîne exacte « 7-Zip 21.02 ».
  3. Deposez le ZIP sur l’hôte cible (simulé en copiant vers un dossier surveillé).

• Script de test de régression : Le script PowerShell suivant reproduit les actions ci-dessus sur la machine cible. Il suppose que l’utilisateur actuel a le droit de créer des liens symboliques (SeCreateSymbolicLinkPrivilege).

  # Script de simulation – crée un ZIP malveillant qui devrait déclencher la règle Sigma
  # Prérequis : Exécuter en tant qu'administrateur pour créer un lien symbolique
  
  # 1. Définir les chemins
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. Préparer le répertoire de travail
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. Créer un lien symbolique (type fichier)
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. Vérifier la création du lien
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "Échec de la création du lien symbolique."
      exit 1
  }
  
  # 5. Ajouter le lien symbolique à une archive ZIP utilisant 7-Zip ( suppose que 7z.exe est ajouté au PATH)
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. Nettoyer le lien temporaire (conservez le ZIP pour la détection)
  Remove-Item $linkPath -Force
  
  Write-Host "ZIP malveillant créé à $zipPath"

• Commandes de nettoyage : Supprimer l’artefact après vérification.

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "Nettoyage terminé."