Cette faille de sécurité dans 7-Zip permet de contourner la sécurité MotW de Windows
Une nouvelle faille de sécurité importante a été découverte dans 7-Zip, le célèbre logiciel de compression de données. En exploitant cette vulnérabilité, un attaquant peut contourner la fonction Mark of the Web de Windows, et ainsi exécuter du code malveillant sur l'ordinateur d'une victime. Faisons le point.
Sommaire
Qu'est-ce que la protection Mark of the Web ?
Commençons par un rappel concernant la protection Mark of the Web (MotW) en elle-même. Il s'agit d'une fonctionnalité de sécurité intégrée à Windows qui permet d’identifier si un fichier provient d’une source potentiellement non fiable, comme Internet. Si c'est le cas, une information nommée Zone.Identifier est ajouté au fichier concerné pour préciser qu'il provient d'une source externe.
Ainsi, lorsque vous tentez d'ouvrir un fichier marqué par MotW, Windows ou une application compatible vous avertit des risques liés à l’exécution du fichier. Microsoft Office gère très bien ce marqueur sur les fichiers, et il ouvrira en mode protégé les fichiers concernés. De son côté, 7-Zip prend en charge cette fonctionnalité depuis juin 2022, suite à la sortie de 7-Zip 22.00.
CVE-2025-0411 : bypass de la protection Mark of the Web
La nouvelle vulnérabilité découverte dans l'application 7-Zip est associée à la référence CVE-2025-0411. Un attaquant pourrait l'exploiter pour exécuter du code malveillant sur les ordinateurs des victimes. En effet, la balise MotW ne se propage pas correctement aux fichiers extraits de l'archive compressée, donc les fichiers malveillants et provenant d'une source non fiable peuvent être exécutés sans avertissement.
"Cette vulnérabilité permet à des attaquants distants de contourner le mécanisme de protection Mark-of-the-Web sur les installations concernées de 7-Zip. L'interaction de l'utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant.", peut-on lire sur le site de la Zero Day Initiative de Trend Micro.
Cette vulnérabilité ne permet pas une élévation de privilèges, donc le fichier malveillant sera exécuté dans le contexte de l'utilisateur, c'est-à-dire avec les permissions de ce dernier.
Comment se protéger ?
Le développeur de 7-Zip, Igor Pavlov, a déjà publié un correctif pour cette vulnérabilité ! En effet, la CVE-2025-0411 a été corrigée dans 7-Zip 24.09, une version publiée le 30 novembre 2024. Par contre, 7-Zip étant dépourvu d'une fonction de mise à jour automatique, c'est aux utilisateurs de faire l'effort de mettre à jour leur application. Vous pouvez télécharger 7-Zip sur cette page.
Il est assez fréquent que des vulnérabilités de ce type soient identifiées par des chercheurs en sécurité ou par les cybercriminels directement. L'été dernier, Microsoft avait corrigé la faille de sécurité zero-day CVE-2024-38213 à l'occasion de son Patch Tuesday d'août 2024.
Vous n'avez plus qu'à patcher 7-Zip pour bien commencer la journée !
