7-Zip nel mirino: nuove vulnerabilità mettono a rischio milioni di computer

7-Zip nel mirino: nuove vulnerabilità mettono a rischio milioni di computer

Nuove vulnerabilità critiche sono state scoperte su 7-Zip, il diffusissimo software di compressione, che permettono ad hacker di eseguire codice maligno semplicemente inducendo l’utente ad aprire un archivio ZIP compromesso. Queste falle consentono di bypassare le protezioni di Windows e di compromettere dati e sistemi sia di privati che di aziende. Aggiorna subito 7-Zip all’ultima versione (almeno 25.00), non aprire allegati sospetti e verifica sempre la provenienza dei file. Di seguito tutti i dettagli e le azioni più approfondite per mettere al sicuro il tuo computer.

7-Zip nel mirino: la cronaca delle ultime minacce

L’importanza di 7-Zip e l’impatto globale della vulnerabilità

7-Zip è da anni uno degli strumenti più diffusi al mondo per comprimere e gestire archivi di file. La sua popolarità lo rende un bersaglio perfetto per attacchi informatici: ogni falla scoperta rischia di mettere in pericolo milioni di utenti privati, imprese e infrastrutture critiche. Ad ottobre 2025, nuove vulnerabilità ad alto impatto sono al centro delle cronache della sicurezza informatica.

Le vulnerabilità scoperte: CVE-2025-0411, CVE-2025-11001 e CVE-2025-11002

Nel dettaglio, sono emerse tre vulnerabilità chiave:

  • CVE-2025-0411 (Bypass Mark-of-the-Web):
    • Consente a un attaccante di aggirare la protezione “Mark-of-the-Web” (MoTW) di Windows. Questa funzione, normalmente, contrassegna i file scaricati da internet come potenzialmente pericolosi, attivando controlli aggiuntivi in Windows Defender e SmartScreen.
    • 7-Zip, fino alla versione 24.08, non trasmetteva correttamente questa protezione quando si aprivano archivi “doppio compressi” (cioè un archivio ZIP contenente un altro archivio ZIP con file malevoli al suo interno).
    • Di fatto, un file malevolo inserito in un doppio archivio ZIP estratto con vecchie versioni di 7-Zip poteva essere eseguito senza alcun avviso di sicurezza, aprendo la porta a malware e ransomware.
  • CVE-2025-11001 e CVE-2025-11002 (Directory Traversal & Symlink Attacks):
    • Queste falle colpiscono la gestione dei “symlink” (link simbolici) all’interno degli archivi ZIP.
    • Un file ZIP costruito ad arte può forzare 7-Zip a estrarre file in posizioni arbitrarie fuori dalla cartella prevista, ad esempio in directory critiche di sistema.
    • In questo modo, può essere sovrascritto un file eseguibile legittimo del sistema o introdotto un payload dannoso che parte automaticamente.
    • L’exploit richiede solo che la vittima apra o estragga il file (non serve privilegio amministrativo).

Queste problematiche hanno un punteggio CVSS 7.0, classificandole come di severità alta a causa della facilità di exploit e delle gravi conseguenze.

Dettagli tecnici e scenari di attacco

Bypass del “Mark-of-the-Web” (CVE-2025-0411)

  • Quando si scarica un file da internet, Windows aggiunge una “zona di sicurezza” nel file (Zone.Identifier) che innesca controlli di SmartScreen.
  • Gli hacker hanno scoperto che comprimendo più volte un file eseguibile dentro archivi ZIP (double archiving), 7-Zip non assegnava la zona di sicurezza ai file estratti.
  • Così, malware che normalmente verrebbero bloccati venivano eseguiti senza alcun avviso.
  • Attacchi reali sono già stati documentati contro organizzazioni ucraine, veicolati attraverso campagne di spear phishing, dove all’utente veniva chiesto di aprire archivi ZIP multipli camuffati da documenti di lavoro.

Directory traversal e attacchi tramite symlink (CVE-2025-11001 & CVE-2025-11002)

  • Un attaccante inserisce nei file ZIP dei symlink costruiti in modo da puntare a directory critiche fuori dal percorso di estrazione.
  • 7-Zip, nelle versioni vulnerabili, segue queste istruzioni estrapolando in posizioni impreviste: in alcuni casi basta estrarre il file per compromettere il sistema.
  • Questo vettore di attacco può essere automatizzato, ad esempio sfruttando servizi aziendali di estrazione automatica degli archivi ZIP ricevuti via email, innescando la diffusione di malware senza alcuna interazione manuale da parte degli amministratori di sistema.

Versioni colpite e aggiornamenti

  • Tutte le versioni di 7-Zip precedenti alla 24.09 sono vulnerabili al bypass Mark-of-the-Web.
  • Tutte le versioni prima della 25.00 sono vulnerabili ai difetti di directory traversal/symlink.
  • La versione consigliata attuale è la 25.01, rilasciata ad agosto 2025, che corregge tutte le vulnerabilità note di recente.
  • Se state utilizzando versioni precedenti alla 25.00, il vostro sistema è potenzialmente esposto, anche se siete attenti e prudenti nell’uso delle email.

Come vengono sfruttate queste falle? Esempio pratico

Uno scenario comune:

  1. Un hacker invia tramite email (phishing o spear phishing) un archivio ZIP doppio (o con symlink dannosi).
  2. L’utente scarica e apre l’archivio con una versione vulnerabile di 7-Zip.
  3. Il file eseguibile contenuto nell’archivio viene eseguito senza nessun avviso di SmartScreen o antivirus Windows.
  4. Il PC viene infettato e l’attaccante può, ad esempio, installare ransomware, rubare credenziali, prendere il controllo remoto della macchina.

Raccomandazioni di sicurezza di base (azioni rapide)

  • Aggiorna immediatamente 7-Zip: scarica solo dal sito ufficiale e assicurati di utilizzare almeno la versione 25.00.
  • Non aprire mai file ZIP allegati ad email sospette o provenienti da mittenti sconosciuti, anche se sembrano documenti aziendali.
  • Verifica sempre la provenienza dei file scaricati o ricevuti tramite servizi di file sharing.
  • Abilita e configura correttamente Windows Defender/SmartScreen: per rilevare file potenzialmente pericolosi provenienti dalla rete.
  • Disabilita l’estrazione automatica di archivi ZIP nei servizi aziendali, soprattutto su macchine critiche.

Approfondimento sulle protezioni e le best practice (azioni avanzate consigliate)

Misure tecniche approfondite per sistemi aziendali e utenti esperti:

  • Applicare hardening ai sistemi: Utilizza criteri di gruppo per impedire l’esecuzione di file eseguibili non firmati o provenienti da percorsi temporanei/generatedi dalle estrazioni di archivi ZIP.
  • Monitorare i log degli antivirus e dei file system in cerca di estrazioni anomale o di percorsi non standard (tipici degli attacchi traversal).
  • Adottare policy di Zero Trust: Anche file condivisi internamente dovrebbero essere considerati a rischio se non vi è certezza assoluta della loro provenienza e integrità.
  • Effettuare periodicamente vulnerability assessment e penetration test sui sistemi che automatizzano la gestione degli archivi compressi.
  • Segnalare ai team di sicurezza e informare gli utenti: Avvisate i colleghi e gli utenti aziendali del rischio, fornendo istruzioni rapide su come riconoscere email o archivi sospetti.
  • Utilizzare strumenti di e-mail filtering avanzati (sandboxing) in grado di testare in isolamento gli archivi ZIP ricevuti prima che raggiungano l’utente finale.
  • Bloccare e rimuovere versioni obsolete di 7-Zip su tutte le workstation e server della rete aziendale.

Conclusioni operative:
La minaccia derivante dalle nuove vulnerabilità di 7-Zip è reale e già sfruttata attivamente da cybercriminali. Aggiornare subito, elevare il livello di consapevolezza degli utenti e rafforzare le difese a livello di endpoint e di server sono le azioni più concrete per proteggersi da queste nuove insidie.

Fonte: https://cybersecuritynews.com/poc-exploit-7-zip-vulnerabilities

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto