Una vulnerabilità di 7-Zip permette a un attaccante di aggirare la funzione di sicurezza di Windows nota come Mark-of-the-Web (MotW) e ottenere l'esecuzione di codice malevolo sui sistemi target durante l'estrazione di file dagli archivi 7-Zip annidati. La falla è monitorata con la sigla CVE-2025-0411 ed è già disponibile la patch per correggerla, di cui si consiglia l’installazione il prima possibile.

Gli esperti dei Malwarebytes Labs spiegano che MotW è un attributo che Windows aggiunge ai file provenienti da fonti non attendibili, con l’obiettivo di attivare avvisi di sicurezza quando si tenta di aprire o eseguire tali file e prevenire così potenziali comportamenti dannosi, inclusa l'installazione di malware. Inoltre, i documenti di Office con MotW vengono aperti in Visualizzazione protetta, in modalità di sola lettura e con le macro disattivate salvo che poi sia l’utente ad autorizzarle manualmente.

Avviso MotW nelle proprietà del file

La falla

7-Zip ha introdotto il supporto MotW a giugno 2022, tuttavia la falla oggetto di questo articolo impediva l’applicazione corretta di questo attributo ai file estratti da archivi annidati. In pratica, quando un utente estraeva file da un archivio contenuto all'interno di un altro archivio, MotW non veniva mantenuto e i file potenzialmente pericolosi potevano eludere gli avvisi di sicurezza di Windows.

In assenza della patch, lo sfruttamento è possibile nel caso in cui la potenziale vittima abbocchi a una email di phishing e attivi il link a una pagina web malevola o in alternativa apra un allegato dannoso. In questo caso specifico è importante essere al corrente del problema e dei rischi ad esso connessi in quanto 7-Zip non dispone di una funzione di aggiornamento automatico, il che rende altamente probabile che molti utenti abbiano ancora in uso versioni precedenti alla 24.09, che è quella con la patch integrata.

Il messaggio pertanto è chiaro: è fondamentale verificare la versione in uso e, se necessario, scaricare l'aggiornamento dal sito ufficiale di 7-Zip.