22/04/25
Проблема затрагивает версии до 29.0 включительно и может привести к скрытому запуску вредоносного кода на компьютере жертвы без каких-либо предупреждений со стороны операционной системы, пишет Securitylab.
Механизм Mark-of-the-Web автоматически помечает файлы, загруженные из Интернета, специальным тегом, благодаря которому при их открытии отображаются уведомления о потенциальной опасности. Однако в случае с WinZip этот тег не сохраняется при распаковке архива. Это означает, что даже вредоносные документы, содержащие макросы, могут запускаться бесшумно, будто бы они были получены из безопасного источника.
Сценарий атаки выглядит просто: злоумышленник создаёт вредоносный файл, например, документ Word с активными макросами, упаковывает его в ZIP-архив и распространяет через фишинговые письма или заражённые сайты. Если пользователь извлечёт такой архив с помощью WinZip, файл окажется вне зоны контроля защитных механизмов Windows и сможет выполняться без оповещений.
Уязвимость получила идентификатор CVE-2025-33028 и оценку 7.8 баллов по шкале CVSS. Эксперты отмечают, что эксплуатировать проблему можно без особых технических знаний, а последствия включают выполнение произвольного кода, повышение привилегий и кражу данных.
Особую тревогу вызывает тот факт, что найденный баг оказался частично исправленной версией более ранней уязвимости CVE-2024-8811 , что указывает на затяжные проблемы с безопасностью при работе с архивами. К аналогичным проблемам недавно привлекли внимание и другие архиваторы. Так, уязвимость CVE-2025-0411 в 7-Zip и CVE-2025-31334 в WinRAR также позволяли обходить Mark-of-the-Web.
На момент публикации обновление безопасности для WinZip пока не выпущено. В связи с этим пользователям рекомендуется проявлять повышенную осторожность при открытии архивов, полученных из ненадёжных источников, использовать альтернативные архиваторы, корректно работающие с тегами безопасности, обязательно сканировать извлечённые файлы антивирусом и отключить автозапуск макросов в офисных приложениях.
Для корпоративных пользователей имеет смысл внедрить дополнительные меры контроля — например, запрет на выполнение только что извлечённых файлов без дополнительной проверки. Инцидент подчёркивает, насколько уязвимыми могут оказаться даже такие обыденные действия, как работа с архивами, при отсутствии надлежащих механизмов защиты.
Пока уязвимости в архивных утилитах продолжают становиться удобным инструментом в арсенале злоумышленников, остаётся лишь полагаться на многоуровневую защиту и осторожность при работе с подозрительными файлами.
