CVE-2025-11001: NHS попереджає про PoC-експлойт для вразливості RCE на основі символьних посилань у 7-Zip

Резюме

Захисники розкрили вразливість віддаленого виконання коду у 7-Zip (CVE-2025-11001), яку можна викликати за допомогою спеціально створених ZIP-архівів, що містять символічні посилання. NHS England Digital випустила рекомендацію, вказуючи на наявність експлойт-коду proof-of-concept (PoC) та підкреслюючи, що на той час не було виявлено підтвердженого використання в дикій природі. Проблема в основному впливає на Windows-середовища і може бути використана противниками, які отримали доступ до облікового запису сервісу. Наступне оновлення рекомендації уточнило, що, незважаючи на початкові побоювання, активного використання вразливості не спостерігалося.

Аналіз CVE-2025-11001

Дослідники визначили, що CVE-2025-11001 виникає через недолік перетином шляхів у тому, як 7-Zip обробляє символічні посилання, вбудовані в ZIP-файли. Ініціатива Zero Day від Trend Micro підкреслила можливий вплив, а дослідник з безпеки опублікував PoC, що показує практичне виконання коду через цю помилку. NHS England Digital відслідковувала телеметрію на наявність будь-яких ознак використання та видала рекомендації на основі цих дослідницьких висновків і звітів загрозової розвідки.

Пом’якшення

Щоб зменшити ризик, користувачі повинні оновити до версії 7-Zip 25.00, яка вирішує як CVE-2025-11001, так і CVE-2025-11002. Організації повинні надати пріоритет цьому оновленню на системах, де 7-Zip працює з підвищеними привілеями або розробницькими засобами. Додаткові заходи зміцнення включають блокування виконання ненадійних архівів, обмеження, хто може запускати 7-Zip на критично важливих вузлах, та моніторинг незвичайної процесуальної активності, пов’язаної з обробкою архівів.

Реагування

Команди з виявлення та реагування повинні стежити за процесами 7-Zip, запущеними з ненадійних шляхів, а також за аномальним створенням символічних посилань в тимчасових або доступних для запису користувачем каталогах. Створюйте попередження, коли високопривілейовані процеси походять від активності 7-Zip, і корелюйте ці сигнали з журналами подій Windows, щоб помітити можливі спроби виконання коду. Забезпечте розгортання останнього патчу 7-Zip та зміцніть політику виконання з найменшими привілеями на всіх вузлах.

Виконання симуляції

Передумова: Телеметрія та перевірка перед початком польоту повинні бути успішними.

Підстава: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати виявлені TTP та прагнути до генерації тієї самої телеметрії, яку очікує логіка виявлення.

• Наратив атаки та команди:
  Нападник створює шкідливий архів під назвою“7-Zip 21.02_exploit.zip”, що містить символічне посилання, яке вказує наC:WindowsSystem32calc.exe. Коли жертва розпаковує архів з уразливою версією 7-Zip (21.02), символічне посилання вирішується, що призводить до того, що керований нападником корисний навантаження записується у привілейоване місце, а потім виконується, досягаючи віддаленого виконання коду через CVE-2025-11001.

  Кроки, виконані на робочій станції нападника (симулюється локально):

  1. Створити символічне посиланняlink_to_calc, що вказує наC:WindowsSystem32calc.exe.
  2. Упакуйте символічне посилання у ZIP-файл, ім’я якого містить точний рядок “7-Zip 21.02”.
  3. Скиньте ZIP на цільовий вузол (симулюється копіюванням у контрольовану папку).

• Скрипт регресійного тестування:Наступний скрипт PowerShell відтворює описані вище дії на цільовій машині. Він передбачає, що поточний користувач має права на створення символічних посилань (SeCreateSymbolicLinkPrivilege).

  # Скрипт симуляції – створює шкідливий ZIP, що повинен викликати правило Sigma
  # Передумова: Запустіть як Адміністратор, щоб створити символічне посилання
  
  # 1. Визначте шляхи
  $tempDir   = "$env:Tempziptp"
  $linkPath  = "$tempDirlink_to_calc"
  $targetExe = "$env:WINDIRSystem32calc.exe"
  $zipPath   = "$tempDir7-Zip 21.02_exploit.zip"
  
  # 2. Підготуйте робочу директорію
  New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
  
  # 3. Створіть символічне посилання (тип файлу)
  cmd /c mklink "$linkPath" "$targetExe" | Out-Null
  
  # 4. Перевірте створення посилання
  if (-not (Test-Path $linkPath -PathType Leaf)) {
      Write-Error "Не вдалося створити символічне посилання."
      exit 1
  }
  
  # 5. Додайте символічне посилання до ZIP-архіву за допомогою 7-Zip (передбачається, що 7z.exe є в PATH)
  & 7z a -tzip -slink "$zipPath" "$linkPath" | Out-Null
  
  # 6. Очистіть тимчасове посилання (залиште ZIP для виявлення)
  Remove-Item $linkPath -Force
  
  Write-Host "Шкідливий ZIP створено в $zipPath"

• Команди очищення:Видаліть артефакт після завершення перевірки.

  $tempDir = "$env:Tempziptp"
  Remove-Item -Recurse -Force $tempDir
  Write-Host "Очистка завершена."