Negli ultimi giorni sono emerse gravi vulnerabilità nel celebre software open source 7-Zip, utilizzato da milioni di persone per comprimere e decomprimere file. Le falle permettono a un attaccante di prendere il controllo del computer tramite archivi zip o file compressi creati ad arte. Bastano poche azioni: aggiorna subito 7-Zip all’ultima versione, evita di aprire archivi sospetti, presta attenzione alle email di phishing e controlla regolarmente nuovi aggiornamenti di sicurezza.
7-Zip: cosa è successo e perché preoccupano le nuove vulnerabilità
7-Zip è tra gli strumenti di compressione più diffusi nel mondo, presente su milioni di computer sia Windows che Linux. La sua popolarità e il fatto che sia open source lo rendono una preda ambita per i cybercriminali, che cercano costantemente modi per sfruttarne i punti deboli per infettare sistemi e rubare dati.
Le vulnerabilità scoperte: identificativi e dettagli tecnici
Negli ultimi giorni sono stati divulgati diversi bug critici in 7-Zip, in parte già corretti con versioni recenti, ma ancora attivamente sfruttati da criminali informatici a causa della lentezza con cui molti utenti aggiornano il software.
Ecco le principali vulnerabilità note nelle ultime 48 ore:
- CVE-2025-0411: Permette di aggirare la protezione Windows “Mark-of-the-Web” (MoTW), generalmente destinata a contrassegnare file provenienti dall’esterno come potenzialmente insicuri. Grazie a una tecnica chiamata “doppio archivio”, un file malevolo contenuto in un archivio zip non viene marcato come pericoloso: Windows, Office e Defender non attivano quindi le protezioni extra, permettendo così l’esecuzione senza allarmi. Questa falla è stata sfruttata in attacchi mirati, anche tramite campagne di phishing con file mascherati da documenti legittimi[8][6].
- CVE-2025-11001 e CVE-2025-55188: Riguardano errori nella gestione dei link simbolici e la estrazione di archivi ZIP. Un file zip creato ad hoc può scrivere file ovunque sul disco—anche in cartelle di sistema—o eseguire codice, compromettendo la sicurezza del computer[4][5][7].
- CVE-2025-53816: Colpisce la gestione RAR5, potenzialmente causando corruzione di memoria e permettendo ulteriori attacchi.
Quasi tutte le falle richiedono che l’utente “apra” o “estragga” un archivio dannoso, ad esempio ricevuto via email o scaricato da Internet. Ma la soglia per l’attacco è spesso molto bassa: basta un semplice doppio clic.
Come agiscono gli attaccanti: i metodi più usati
Gli attacchi osservati sfruttano spesso questi passaggi:
- Invio di archivi compressi malevoli tramite email di phishing, a volte usando tecniche di “homoglyph” (falsificazione di nomi file per sembrare legittimi).
- L’utente, convinto sia un documento normale, apre o estrae il file comprimendo la barriera di sicurezza.
- Se sfruttano CVE-2025-0411, il file estratto non riceve la protezione Windows Mark-of-the-Web, così il malware passa inosservato.
- Il malware può essere ransomware, spyware o altre minacce, arrivando perfino a compromettere completamente il sistema[6][8].
Nei casi più avanzati, i criminali inseriscono nei file compressi collegamenti simbolici (“symlink”): quando il file viene estratto, può scrivere in aree critiche del disco, anche sovrascrivendo configurazioni o chiavi SSH su sistemi Linux. Su Windows, è possibile l’attacco soprattutto in presenza di privilegi elevati o Developer Mode.
Da notare che molti attacchi sono genericamente mirati (es. campagne di phishing di massa), ma in altri casi vi sono operazioni mirate specificamente contro enti di rilievo—ad esempio strutture governative ucraine come parte di attacchi geopolitici documentati da Trend Micro su CVE-2025-0411[8].
Dettaglio: il caso Mark-of-the-Web (CVE-2025-0411)
Cos’è la “Mark-of-the-Web” e perché conta
Quando Windows scarica un file da Internet, lo etichetta in modo particolare, aggiungendo uno stream “Zone.Identifier” che indica all’OS che quel file richiede attenzione speciale (controllo tramite Defender, avviso all’utente, ecc.).
Questa misura serve per evitare che malware passino inosservati.
Ma se un bug, come quello in 7-Zip, impedisce che la marcatura venga propagata ai file estratti, il malware può entrare in azione senza che Windows se ne accorga. Ecco cosa accade:
- Un file .zip è scaricato da Internet e riceve la MoTW.
- L’utente estrae un secondo file .zip (incapsulato dentro il precedente) usando 7-Zip: il secondo archivio non viene marcato.
- Il malware al suo interno viene eseguito senza alcun avviso o blocco di sicurezza.
Questo meccanismo è stato sfruttato attivamente da gruppi criminali (es. Russian APT) contro entità ucraine e non solo[8].
L’impatto sulle aziende e sulle infrastrutture
7-Zip non è solo installato su PC di privati, ma anche su moltissime workstation aziendali, server, e workstation di pubbliche amministrazioni. Ciò rende ogni bug potenzialmente devastante:
- Diffusione del malware in reti aziendali: se un utente sprovveduto estrae un file malevolo, il malware può diffondersi rapidamente in una rete interna.
- Furto di credenziali e informazioni sensibili tramite overwrite di configurazioni o installazione di spyware.
- Esecuzione di ransomware: cifratura di file locali e di rete, con richiesta di riscatto per i dati.
- Compromissione della supply chain: file compressi vengono spesso scambiati fra partner commerciali. Se un archivio compromesso circola senza essere rilevato, può infettare anche workstation di fornitori o clienti[6].
Quali versioni sono al sicuro e cosa fare immediatamente
Solo le versioni aggiornate—dalla 24.09 per la questione Mark-of-the-Web e dalla 25.00 per i bug su archivi ZIP e symbolic link—sono immuni agli attacchi noti.
La maggior parte degli utenti non riceve però aggiornamenti in modo automatico, perché 7-Zip non include un sistema di update automatico come altri programmi.
Le versioni vulnerabili sono quelle precedenti a 7-Zip 24.09 e a 25.00 (queste ultime, di agosto e ottobre 2025).
Chi aggiorna solo saltuariamente o si affida a versioni portatili rischia di restare esposto ancora per mesi.
Raccomandazioni immediate per utenti e aziende
Consigli/azioni essenziali:
- Aggiorna subito 7-Zip all’ultima versione disponibile (almeno 25.01, ottobre 2025).
- Non aprire mai archivi sospetti ricevuti via email, soprattutto se provenienti da mittenti sconosciuti o inattesi.
- Verifica periodicamente nuovi aggiornamenti, perché il software non lo fa in automatico.
- Forma gli utenti su phishing e truffe, soprattutto in ambito aziendale.
- Isola temporaneamente sistemi che usano versioni obsolete da reti sensibili.
Guida approfondita: come ridurre al minimo i rischi
Consigli e azioni avanzate:
- Implementa soluzioni di sicurezza endpoint che rilevino comportamenti anomali e monitorino l’uso di strumenti di compressione in azienda, bloccando automaticamente l’esecuzione di archivi eseguibili potenzialmente pericolosi.
- Attiva restrizioni su Windows (“Group Policy”): limita la possibilità di eseguire file estratti da archivi o non firmati digitalmente.
- Usa sistemi di sandboxing per l’analisi di file sospetti, isolando l’estrazione o l’esecuzione di archivi da sistemi operativi reali.
- Disabilita o limita la creazione di symbolic link ove non necessari, soprattutto su sistemi Linux/Unix in ambito server o dove sono gestite chiavi SSH e file di configurazione sensibili.
- Automatizza il controllo degli aggiornamenti degli applicativi open source più critici tramite strumenti di inventory o vulnerability management.
- Educa periodicamente gli utenti sui nuovi metodi di ingegneria sociale e phishing, con simulazioni di attacco e aggiornamenti regolari sulle minacce in circolazione.
Infine:
Solo una difesa a più livelli—patch costanti, formazione continua, difese “zero trust” e pratiche di cyber hygiene—permette di mitigare efficacemente i rischi derivanti da falle come quelle recentemente scoperte in 7-Zip.
Resta aggiornato, controlla le versioni installate, esegui solo file da fonti sicure e adotta un approccio proattivo alla sicurezza informatica.
