TIN HOT TRONG NGÀY
Diễn đàn Công nghệ & Đời sống
»
Tin tặc Nga khai thác lỗ hổng 7-Zip để vượt qua các biện pháp bảo vệ MotW của Windows

Tin tặc Nga khai thác lỗ hổng 7-Zip để vượt qua các biện pháp bảo vệ MotW của Windows

Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.

Tin tặc Nga khai thác lỗ hổng 7-Zip để vượt qua các biện pháp bảo vệ MotW của Windows

Lỗ hổng được định danh là CVE-2025-0411 (điểm CVSS 7,0), cho phép kẻ tấn công từ xa vượt qua các biện pháp bảo vệ mark-of-the-web (MotW) và thực thi mã tùy ý. Lỗ hổng đã được 7-Zip giải quyết vào tháng 11/2024 trong phiên bản 24.09.

“Các nhóm tội phạm mạng của Nga đã tích cực khai thác lỗ hổng này thông qua các chiến dịch lừa đảo trực tuyến, sử dụng các cuộc tấn công homoglyph để giả mạo phần mở rộng tài liệu và lừa người dùng cũng như Hệ điều hành Windows thực thi các tệp độc hại” - nhà nghiên cứu bảo mật Peter Girnus của Trend Micro cho biết.

Người ta nghi ngờ rằng lỗ hổng CVE-2025-0411 có khả năng đã được sử dụng để nhắm vào các tổ chức chính phủ và phi chính phủ ở Ukraine như một phần của chiến dịch gián điệp mạng trong bối cảnh xung đột Nga - Ukraine đang diễn ra.

MotW là một tính năng bảo mật do Microsoft triển khai trong Windows để ngăn chặn việc tự động thực thi các tệp được tải xuống từ Internet mà không thực hiện thêm các kiểm tra thông qua Microsoft Defender SmartScreen. Lỗ hổng CVE-2025-0411 bỏ qua MotW bằng cách lưu trữ kép nội dung bằng 7-Zip, tức là tạo một kho lưu trữ và sau đó là một kho lưu trữ của kho lưu trữ để che giấu các payload độc hại.

Các cuộc tấn công lợi dụng lỗ hổng này được phát hiện lần đầu tiên trong thực tế vào ngày 25/9/2024, với các chuỗi lây nhiễm dẫn đến SmokeLoader - một phần mềm độc hại đã được sử dụng nhiều lần để nhắm mục tiêu vào Ukraine. Cách tiếp cận này dẫn đến việc thực thi tệp lối tắt Internet (.URL) có trong tệp ZIP, tệp này trỏ đến máy chủ do kẻ tấn công kiểm soát đang lưu trữ một tệp ZIP khác. Tệp ZIP tải xuống sau đó có chứa tệp thực thi SmokeLoader được ngụy trang dưới dạng tài liệu PDF.

Ít nhất 9 cơ quan chính phủ Ukraine và các tổ chức khác bị ảnh hưởng bởi chiến dịch, bao gồm: Bộ Tư pháp, Dịch vụ Giao thông Công cộng Kyiv, Công ty Cung cấp Nước Kyiv và Hội đồng Thành phố.

Trước tình hình khai thác lỗ hổng CVE-2025-0411 đang diễn ra, người dùng được khuyến cáo nên cập nhật cài đặt lên phiên bản mới nhất, triển khai các tính năng lọc email để chặn các nỗ lực lừa đảo và vô hiệu hóa việc thực thi tệp từ các nguồn không đáng tin cậy.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận

Tin cùng chuyên mục Xem tất cả