Un bug critique affectant lle logiel d’archivage et de compression de fichiers 7-Zip permet à des attaquants de contourner la protection Mark of the Web (MoTW) de Windows. Cette faille peut être exploitée pour exécuter du code malveillant sur votre ordinateur lorsque vous décompressez des fichiers infectés depuis des archives imbriquées.
Qu’est-ce que la protection Mark of the Web (MoTW) ?
La protection Mark of the Web (MoTW) est une sécurité intégrée à Windows qui vous aide à identifier les fichiers potentiellement dangereux téléchargés sur Internet. Quand vous téléchargez une archive ou un fichier depuis un site web ou un e-mail, Windows y ajoute un marqueur indiquant qu’il vient d’une source externe non fiable.
Ce marqueur agit comme un avertissement pour Windows et les logiciels comme Microsoft Office, qui traiteront ces fichiers avec précaution. Par exemple, Office ouvrira ces documents en mode protégé, empêchant l’exécution automatique de macros qui pourraient contenir des logiciels malveillants. De même, lorsque vous essayez d’exécuter un fichier marqué, Windows affiche une alerte pour vous avertir des dangers potentiels.
Grâce à MoTW, vous êtes mieux protégé contre les fichiers malveillants qui pourraient infecter votre PC.
Depuis la version 22.00, publiée en juin 2022, 7-Zip prend également en charge cette protection MoTW. Cela signifie que lorsqu’un utilisateur extrait des fichiers depuis une archive téléchargée, 7-Zip attribue automatiquement le marqueur MoTW aux fichiers extraits.
Une faille critique dans 7-Zip
Un problème de sécurité (CVE-2025-0411) a été identifié et permet de contourner la protection MoTW dans 7-Zip. Trend Micro, dans une note technique, explique que cette vulnérabilité repose sur la mauvaise gestion des archives imbriquées :
« Cette vulnérabilité permet à des attaquants de contourner à distance le mécanisme de protection MoTW sur les versions de 7-Zip concernées. Une interaction utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant. »
En manipulant des archives spécifiques portant le MoTW, 7-Zip omet d’appliquer l’indicateur aux fichiers extraits. Cela ouvre la porte à l’exécution de code arbitraire avec les droits de l’utilisateur actuel.
Le problème est préoccupant car 7-Zip ne dispose pas de mise à jour automatique et de nombreux utilisateurs continuent probablement d’utiliser une version vulnérable.
Les failles MoTW, comme celle-ci, sont régulièrement exploitées dans des attaques de malware. Par exemple :
- En juin 2024, Microsoft a corrigé une faille dans la protection MoTW (CVE-2024-38213) que des cybercriminels utilisaient pour contourner la sécurité SmartScreen et diffuser des malwares déguisés en installateurs d’applications légitimes, comme iTunes, NVIDIA ou Notion.
- Le groupe de hackers Water Hydra (alias DarkCasino) a exploité une autre faille dans la protection MoTW (CVE-2024-21412) pour cibler des chaînes Telegram et forums de trading avec le cheval de Troie DarkMe RAT.
Un correctif disponible avec la version 24.09
Heureusement, le développeur de 7-Zip, Igor Pavlov, a corrigé cette vulnérabilité dans la version 24.09, publiée le 30 novembre 2024. Pavlov a détaillé le problème dans un message :
« 7-Zip File Manager ne propageait pas le flux Zone.Identifier pour les fichiers extraits depuis des archives imbriquées (lorsqu’une archive ouverte contenait une autre archive ouverte). »
Le flux Zone.Identifier est une information de sécurité qui permet à Windows de savoir si un fichier provient d’une source non fiable. Ce flux est essentiel pour que la protection Mark of the Web (MoTW) fonctionne correctement car MoTW utilise ces données pour appliquer des précautions supplémentaires, telles que l’ouverture de fichiers téléchargés dans un mode sécurisé.
Le problème rencontré dans 7-Zip est que lorsque des archives contenant d’autres archives étaient extraites, 7-Zip ne propageait pas ce flux Zone.Identifier aux fichiers extraits. Par conséquent, ces fichiers, bien qu’ils soient issus d’une source potentiellement dangereuse, n’étaient pas correctement identifiés comme tels par Windows, ce qui permettait à un attaquant de contourner cette protection MoTW et d’exécuter du code malveillant sur l’ordinateur.
Comment vous protéger ?
C’est simple : mettez immédiatement à jour votre installation de 7-Zip vers la version 24.09.
Pour cela, téléchargez la dernière version directement depuis le site officiel et exécutez l’installeur qui remplacera la version de 7-Zip actuellement installée sur votre machine :
Cette mise à jour est essentielle pour vous protéger votre PC. Ne la remettez pas à plus tard !