Une vulnérabilité de sécurité récemment corrigée dans l’outil d’archivage 7-Zip a été exploitée dans la nature pour diffuser le malware SmokeLoader .

La faille, CVE-2025-0411 (score CVSS : 7,0), permet aux attaquants distants de contourner les protections de marquage du Web ( MotW ) et d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Elle a été corrigée par 7-Zip en novembre 2024 avec la version 24.09 .

« La vulnérabilité a été activement exploitée par des groupes de cybercriminalité russes via des campagnes de spear-phishing, utilisant des attaques homoglyphes pour usurper les extensions de documents et tromper les utilisateurs et le système d’exploitation Windows afin qu’ils exécutent des fichiers malveillants », a déclaré Peter Girnus, chercheur en sécurité chez Trend Micro .

On soupçonne que le virus CVE-2025-0411 a probablement été utilisé comme arme pour cibler des organisations gouvernementales et non gouvernementales en Ukraine dans le cadre d’une campagne de cyberespionnage dans le contexte du conflit russo-ukrainien en cours.

MotW est une fonctionnalité de sécurité implémentée par Microsoft dans Windows pour empêcher l’exécution automatique de fichiers téléchargés depuis Internet sans effectuer de vérifications supplémentaires via Microsoft Defender SmartScreen.

CVE-2025-0411 contourne MotW en archivant deux fois le contenu à l’aide de 7-Zip, c’est-à-dire en créant une archive puis une archive de l’archive pour masquer les charges utiles malveillantes.

« La cause principale de CVE-2025-0411 est qu’avant la version 24.09, 7-Zip ne propageait pas correctement les protections MotW au contenu des archives à double encapsulation », a expliqué M. Girnus. « Cela permet aux acteurs malveillants de créer des archives contenant des scripts ou des exécutables malveillants qui ne bénéficieront pas des protections MotW, laissant les utilisateurs Windows vulnérables aux attaques. »

Les attaques exploitant la faille comme une faille zero-day ont été détectées pour la première fois le 25 septembre 2024, les séquences d’infection menant à SmokeLoader, un malware de chargement qui a été utilisé à plusieurs reprises pour cibler l’Ukraine.

Le point de départ est un e-mail de phishing contenant un fichier d’archive spécialement conçu qui, à son tour, utilise une attaque homoglyphe pour faire passer l’archive ZIP interne pour un fichier de document Microsoft Word, déclenchant ainsi efficacement la vulnérabilité.

Selon Trend Micro, les messages de phishing ont été envoyés depuis des adresses e-mail associées à des organismes gouvernementaux et à des comptes d’entreprises ukrainiens à des organisations municipales et à des entreprises, ce qui suggère une compromission antérieure.

« L’utilisation de ces comptes de messagerie compromis donne un air d’authenticité aux e-mails envoyés aux cibles, manipulant les victimes potentielles pour qu’elles fassent confiance au contenu et à leurs expéditeurs », a souligné Girnus.

Cette approche conduit à l’exécution d’un fichier de raccourci Internet (.URL) présent dans l’archive ZIP, qui pointe vers un serveur contrôlé par un attaquant hébergeant un autre fichier ZIP. Le ZIP nouvellement téléchargé contient l’exécutable SmokeLoader déguisé en document PDF.

Au moins neuf entités gouvernementales ukrainiennes et autres organisations ont été évaluées comme étant touchées par la campagne, notamment le ministère de la Justice, le service des transports publics de Kiev, la compagnie d’approvisionnement en eau de Kiev et le conseil municipal.

À la lumière de l’exploitation active de CVE-2025-0411, il est recommandé aux utilisateurs de mettre à jour leurs installations vers la dernière version, d’implémenter des fonctionnalités de filtrage des e-mails pour bloquer les tentatives de phishing et de désactiver l’exécution de fichiers provenant de sources non fiables.

« Un point intéressant que nous avons remarqué dans les organisations ciblées et affectées par cette campagne est celui des organismes gouvernementaux locaux de plus petite taille », a déclaré Girnus.

« Ces organisations subissent souvent une pression cybernétique intense, mais sont souvent négligées, moins expertes en cybersécurité et ne disposent pas des ressources nécessaires pour mettre en place une stratégie cybernétique complète, contrairement aux grandes organisations gouvernementales. Ces petites organisations peuvent constituer des points de pivot précieux pour les acteurs de la menace qui souhaitent se tourner vers des organisations gouvernementales plus grandes. »