CVE-2025-11001: NHS Warns of PoC Exploit for 7-Zip Symbolic Link–Based RCE Vulnerability

概要

Defendersは、特別に作成されたシンボリックリンクを含むZIPアーカイブによって引き起こされる7-Zipのリモートコード実行脆弱性（CVE-2025-11001）を公表しました。NHS England Digitalは概念実証（PoC）エクスプロイトコードの入手可能性に関する勧告を発表しましたが、その時点で現実世界での悪用が確認されていないことを強調しました。この問題は主にWindows環境に影響を与え、サービスアカウントにアクセスする敵対者によって悪用される可能性があります。その後の勧告更新では、初期の懸念にもかかわらず、アクティブな悪用は観測されていないことが明確化されました。

CVE-2025-11001の分析

研究者たちは、CVE-2025-11001がZIPファイル内に埋め込まれたシンボリックリンクの処理におけるパストラバーサルの欠陥に起因することを特定しました。Trend Microのゼロデイイニシアティブはその潜在的な影響を強調し、セキュリティ研究者がこのバグを通じて実際のコード実行を示すPoCを公開しました。NHS England Digitalは悪用の兆候を確認するためのテレメトリを追跡し、これらの研究成果と脅威インテルレポートに基づいたガイダンスを発行しました。

緩和策

リスクを軽減するために、ユーザーはCVE-2025-11001およびCVE-2025-11002に対処した7-Zipのバージョン25.00にアップグレードすべきです。組織は、7-Zipが昇格した特権または開発者ツールで動作するシステムでこのアップデートを優先すべきです。追加の強化措置には、信頼できないアーカイブの実行をブロックすることや、機密ホストで7-Zipを実行できる人を制限すること、アーカイブ処理に関連する異常なプロセス動作の監視が含まれます。

対応策

検出と対応チームは、信頼できないパスから起動された7-Zipプロセスや、テンポラリまたはユーザーが書き込み可能なディレクトリ内での異常なシンボリックリンク作成を監視するべきです。高特権プロセスが7-Zipアクティビティから発生した場合にアラートを生成し、これらのシグナルをWindowsイベントログと関連づけて可能性のあるコード実行試行を特定します。最新の7-Zipパッチが展開されていることを確認し、エンドポイント全体で最低特権実行ポリシーを強化します。

シミュレーションの実行

前提条件：テレメトリ & ベースラインプレフライトチェックが通過していること。

根拠：このセクションは、検出ルールをトリガーするよう設計された敵対者の技術（TTP）を正確に実行します。コマンドと叙述はTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目指します。

• 攻撃の叙述とコマンド：
  敵対者は、次の名前の悪意のあるアーカイブを作成します：“7‑Zip 21.02_exploit.zip”が、次のシンボリックリンクを含んでいます：C:WindowsSystem32calc.exe。被害者が脆弱な7‑Zipバージョン（21.02）を使用してアーカイブを抽出すると、シンボリックリンクが解決され、攻撃者制御のペイロードが特権のある場所に書き込まれ、その後実行され、CVE‑2025‑11001を介したリモートコード実行を達成します。

  攻撃者の作業ステーションで実行されるステップ（ローカルでシミュレート）：

  1. シンボリックリンクを作成する：link_to_calcが、以下を指します：C:WindowsSystem32calc.exe.
  2. シンボリックリンクを含むZIPファイルをパッケージ化します。その名前に正確な文字列“7‑Zip 21.02”を含むようにします。
  3. ZIPをターゲットホストにドロップします（監視対象フォルダにコピーしてシミュレート）。

• 回帰テストスクリプト：以下のPowerShellスクリプトは、ターゲットマシンでの上記のアクションを再現します。現在のユーザーがシンボリックリンクを作成する権限を持っていることを前提としています（SeCreateSymbolicLinkPrivilege).

  # シミュレーションスクリプト – シグマルールを発火させるための悪意のあるZIPを作成
  # 前提条件：シンボリックリンクを作成するには管理者として実行
  
  # 1. パスを定義
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. 作業ディレクトリを準備
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. シンボリックリンクを作成（ファイルタイプ）
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. リンク作成の検証
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "シンボリックリンクの作成に失敗しました。"
      exit 1
  }
  
  # 5. 7‑Zipを使用してZIPアーカイブにシンボリックリンクを追加（7z.exeがPATHにあることを前提としています）
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. 一時リンクをクリーンアップ（検出のためにZIPを保持）
  Remove-Item $linkPath -Force
  
  Write-Host "悪意のあるZIPが$zipPathに作成されました"

• クリーンアップコマンド：検証後にアーティファクトを削除します。

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "クリーンアップ完了。"