ZIP-Ниндзя

Как символические ссылки превратили 7-Zip в удалённый катапультатор кода

Пока большинство пользователей думало, что 7-Zip — это тихая рабочая лошадка для распаковки очередных «документов от бухгалтерии», в его недрах жили баги, подходящие для уличной хакерской драки. Один из них, CVE-2025-11001, уже пошёл в дело, и атакующие начали ломать системы без лишнего шума, просто закидывая ZIP-архивы с символическими ссылками, которые ведут туда, куда им выгодно. Уязвимость аккуратно лежала в движке обработки ZIP-файлов и позволяла злоумышленнику подменить пути и заставить 7-Zip выполнять произвольный код от имени служебных аккаунтов. Не RCE, а тихий ZIP-телепорт на машинке администратора.

Ирония: баг был в симлинках, а пользователи даже не успели понять, что именно перепутали — архив, путь или свою безопасность. Патч уже давно выпущен в версии 25.00, но как всегда, большинство устройств живёт на старье, и теперь эти машины в зоне риска, особенно системы, где включён developer mode или используются сервисные аккаунты. В Windows такая конструкция становится особенно хрупкой: одна неправильная ссылка — и компрометация на ровном месте.

Исследователи Ryota Shiga из GMO Flatt Security и их ИИ-инструмент Takumi нашли баг и передали его по правилам disclosure, а вот злоумышленники решили, что это отличный стартовый трамплин. NHS England Digital сообщил о реальных атаках, но пока никому не раскрывает ни методы, ни цели, ни группировки. По крайней мере одно понятно: PoC уже гуляет по сети, и атаки могут быть не только точечными, но и массовыми.

Пока пользователи продолжают «понижать уровень угрозы» командой «я позже обновлюсь», эксплойты только набирают обороты. Вредоносы начали упаковывать RCE-сюрпризы в архивы так же легко, как спамеры шлют ZIP-файлы «резюме». После такой доставки сервисные процессы могут стать проводником в корпоративные сети.

Техническое резюме для тех, у кого нет времени на философию:
— проблема — симлинки внутри ZIP;
— результат — произвольный код от имени сервисных учёток;
— платформа — только Windows;
— решение — обновиться до 7-Zip 25.00 или выкинуть старые версии как битую флешку;
— иначе ZIP-архив начнёт командовать системой.