SOC Prime Bias: Crítico

24 Nov 2025 14:49
newspaper icon The Hacker News

CVE-2025-11001: NHS advierte sobre un exploit de PoC para la vulnerabilidad de RCE basada en enlaces simbólicos de 7-Zip

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2025-11001: NHS advierte sobre un exploit de PoC para la vulnerabilidad de RCE basada en enlaces simbólicos de 7-Zip
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Los defensores divulgaron una vulnerabilidad de ejecución remota de código en 7-Zip (CVE-2025-11001), activada por archivos ZIP especialmente diseñados que contienen enlaces simbólicos. NHS England Digital lanzó un aviso señalando la disponibilidad de código de explotación de prueba de concepto (PoC), aunque destacó que no se había detectado explotación confirmada en el mundo real en ese momento. El problema afecta principalmente a los entornos de Windows y puede ser explotado por adversarios que obtienen acceso a una cuenta de servicio. Una actualización subsiguiente del aviso aclaró que, a pesar de las preocupaciones iniciales, no se había observado explotación activa.

Análisis de CVE-2025-11001

Los investigadores determinaron que CVE-2025-11001 se origina de una falla de recorrido de directorio en cómo 7-Zip procesa los enlaces simbólicos incrustados en archivos ZIP. La Iniciativa Zero Day de Trend Micro destacó el impacto potencial, y un investigador de seguridad publicó un PoC mostrando la ejecución práctica de código a través del error. NHS England Digital rastreó la telemetría para detectar cualquier signo de explotación y emitió orientación informada por estos descubrimientos de investigación y reportes de inteligencia de amenazas.

Mitigación

Para mitigar el riesgo, los usuarios deben actualizar a la versión 25.00 de 7-Zip, que aborda tanto CVE-2025-11001 como CVE-2025-11002. Las organizaciones deben priorizar esta actualización en los sistemas donde 7-Zip se ejecuta con privilegios elevados o herramientas de desarrollo. Las medidas adicionales de endurecimiento incluyen bloquear la ejecución de archivos no confiables, limitar quién puede ejecutar 7-Zip en hosts sensibles y monitorear comportamientos inusuales de procesos relacionados con el manejo de archivos.

Respuesta

Los equipos de detección y respuesta deben observar los procesos de 7-Zip lanzados desde rutas no confiables y la creación anómala de enlaces simbólicos en directorios temporales o escribibles por el usuario. Genere alertas cuando los procesos de alto privilegio se originen de la actividad de 7-Zip y correlacione estas señales con los registros de eventos de Windows para detectar intentos potenciales de ejecución de código. Asegúrese de que el último parche de 7-Zip esté implementado y refuerce las políticas de ejecución de menor privilegio en todos los puntos finales.

Flujo de Ataque

Todavía estamos actualizando esta parte. Regístrese para ser notificado.

Notifíqueme

Ejecución de Simulación

Requisito previo: Debe haber pasado el Examen Preliminar de Telemetría y Línea Base.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa y Comandos de Ataque:
    Un adversario crea un archivo malicioso llamado“7‑Zip 21.02_exploit.zip” que contiene un enlace simbólico apuntando a C:WindowsSystem32calc.exe. Cuando la víctima extrae el archivo con una versión vulnerable de 7-Zip (21.02), se resuelve el enlace simbólico, causando que la carga útil controlada por el atacante se escriba en una ubicación privilegiada y se ejecute posteriormente, logrando la ejecución remota de código a través de CVE‑2025‑11001.

    Pasos realizados en la estación de trabajo del atacante (simulado localmente):

    1. Crear un enlace simbólicolink_to_calc que apunta a C:WindowsSystem32calc.exe.
    2. Empaquetar el enlace simbólico en un archivo ZIP cuyo nombre incluye la cadena exacta “7-Zip 21.02”.
    3. Insertar el ZIP en el host objetivo (simulado copiándolo a una carpeta monitoreada).

  • Script de Prueba de Regresión: El siguiente script de PowerShell reproduce las acciones anteriores en la máquina objetivo. Asume que el usuario actual tiene derechos para crear enlaces simbólicos (SeCreateSymbolicLinkPrivilege).

    # Script de simulación: crea un ZIP malicioso que debería activar la regla Sigma
# Requisito previo: Ejecutar como Administrador para crear un enlace simbólico

# 1. Defina rutas
$tempDir   = "$env:Tempziptp"
$linkPath  = "$tempDirlink_to_calc"
$targetExe = "$env:WINDIRSystem32calc.exe"
$zipPath   = "$tempDir7-Zip 21.02_exploit.zip"

# 2. Preparar el directorio de trabajo
New-Item -ItemType Directory -Force -Path $tempDir | Out-Null

# 3. Crear enlace simbólico (tipo de archivo)
cmd /c mklink "$linkPath" "$targetExe" | Out-Null

# 4. Verificar la creación del enlace
if (-not (Test-Path $linkPath -PathType Leaf)) {
    Write-Error "No se pudo crear el enlace simbólico."
    exit 1
}

# 5. Agregue el enlace simbólico a un archivo ZIP usando 7-Zip (asume que 7z.exe está en PATH)
& 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null

# 6. Limpie el enlace temporal (conserve el ZIP para detección)
Remove-Item $linkPath -Force

Write-Host "ZIP malicioso creado en $zipPath"

  • Comandos de Limpieza: Elimine el artefacto después de la verificación.

    $tempDir = "$env:Tempziptp"
Remove-Item -Recurse -Force $tempDir
Write-Host "Limpieza completa."

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis