A vulnerabilidade CVE-2025-0411 permite que atacantes contornem a prote\u00e7\u00e3o Mark-of-the-Web (MoTW)<\/strong> do Windows ao usar arquivos compactados com o 7-Zip. O MoTW \u00e9 um mecanismo de seguran\u00e7a que marca arquivos baixados da internet com um identificador ( A raiz do problema est\u00e1 na incapacidade do 7-Zip (antes da vers\u00e3o 24.09) de propagar corretamente o MoTW para arquivos dentro de arquivos compactados duplamente (um arquivo compactado dentro de outro). Isso permite que atacantes distribuam scripts maliciosos (.js, .wsf) ou execut\u00e1veis (.exe) sem que o Windows os identifique como provenientes de fontes n\u00e3o confi\u00e1veis.<\/p>\n <\/p>\n <\/p>\n Explora\u00e7\u00e3o no mundo real: SmokeLoader e ataques de hom\u00f3glifos<\/strong><\/p>\n Os atacantes usaram uma combina\u00e7\u00e3o de t\u00e9cnicas sofisticadas para explorar a vulnerabilidade:<\/p>\n Ataques de Hom\u00f3glifos<\/strong>: Substitu\u00edram caracteres latinos por caracteres cir\u00edlicos visualmente semelhantes (por exemplo, “c” por “\u0441” cir\u00edlico) para enganar os usu\u00e1rios. Um exemplo \u00e9 o arquivo Arquivos Duplamente Compactados<\/strong>: Os atacantes encapsularam arquivos maliciosos dentro de arquivos compactados duplamente, como Engenharia Social<\/strong>: E-mails de phishing foram enviados de contas comprometidas, muitas vezes de organiza\u00e7\u00f5es ucranianas leg\u00edtimas, para aumentar a credibilidade.<\/p>\n<\/li>\n Execu\u00e7\u00e3o de Payloads<\/strong>: Arquivos como <\/p>\n Exemplos de Scripts para Mitiga\u00e7\u00e3o<\/strong><\/p>\n Abaixo est\u00e3o exemplos de scripts e pr\u00e1ticas recomendadas para mitigar riscos associados ao CVE-2025-0411 e ataques semelhantes.<\/p>\n <\/p>\n 1. Atualiza\u00e7\u00e3o Autom\u00e1tica do 7-Zip<\/strong><\/p>\n Certifique-se de que todas as inst\u00e2ncias do 7-Zip estejam atualizadas para a vers\u00e3o 24.09 ou superior. Use o seguinte script PowerShell para verificar e atualizar o 7-Zip em sistemas Windows:<\/p>\n 3. Configura\u00e7\u00e3o de pol\u00edticas do windows para MoTW<\/strong> 4.\u00a0Filtragem de URLs maliciosos<\/strong><\/p>\n Use um script para bloquear acesso a dom\u00ednios maliciosos conhecidos:<\/p>\n echo “0.0.0.0 malicious-domain.com” >> C:\\Windows\\System32\\drivers\\etc\\hosts<\/strong><\/p>\n \u00a0<\/p>\n 1.\u00a0Arquivo\u00a0 O arquivo\u00a0 \u00a0<\/p>\n 2.\u00a0Adicionando uma entrada ao arquivo O comando acima adiciona uma linha ao final do arquivo\u00a0 \u00a0<\/p>\n 3.\u00a0Operador\u00a0 O operador\u00a0 4.\u00a0Resultado<\/strong><\/p>\n Ap\u00f3s executar o comando, qualquer tentativa de acessar\u00a0 \u00a0<\/p>\n Se voc\u00ea quiser bloquear o acesso a um dom\u00ednio malicioso como\u00a0 echo “0.0.0.0 api-mi\u0441rosoft.com” >> C:\\Windows\\System32\\drivers\\etc\\hosts<\/strong><\/p>\n Ap\u00f3s isso, qualquer tentativa de acessar\u00a0 \u00a0<\/p>\n Observa\u00e7\u00f5es importantes<\/strong><\/p>\n Permiss\u00f5es administrativas<\/strong>: Para editar o arquivo\u00a0 Efic\u00e1cia<\/strong>: Esse m\u00e9todo \u00e9 eficaz para bloquear dom\u00ednios espec\u00edficos, mas n\u00e3o substitui solu\u00e7\u00f5es de seguran\u00e7a mais robustas, como firewalls ou filtros de DNS.<\/p>\n<\/li>\n Revers\u00e3o<\/strong>: Para desfazer o bloqueio, basta abrir o arquivo\u00a0 O comando \u00e9 uma forma simples e eficaz de bloquear o acesso a dom\u00ednios maliciosos diretamente no n\u00edvel do sistema operacional, ajudando a proteger o usu\u00e1rio contra phishing, malware e outras amea\u00e7as cibern\u00e9ticas.<\/p>\n \u00a0<\/p>\n Recomenda\u00e7\u00f5es adicionais<\/strong><\/p>\n Treinamento de Conscientiza\u00e7\u00e3o<\/strong>: Eduque os usu\u00e1rios sobre phishing, hom\u00f3glifos e a import\u00e2ncia de verificar a origem dos arquivos.<\/p>\n<\/li>\n Filtros de E-mail<\/strong>: Implemente solu\u00e7\u00f5es avan\u00e7adas de filtragem de e-mail para detectar e bloquear spear-phishing.<\/p>\n<\/li>\n Monitoramento de Dom\u00ednios<\/strong>: Use ferramentas de monitoramento para detectar tentativas de phishing baseadas em hom\u00f3glifos.<\/p>\n<\/li>\n Backups e Resposta a Incidentes<\/strong>: Mantenha backups regulares e um plano de resposta a incidentes para mitigar danos em caso de infec\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n \u00a0<\/p>\n Conclus\u00e3o<\/strong><\/p>\n A vulnerabilidade CVE-2025-0411 no 7-Zip \u00e9 um lembrete cr\u00edtico da import\u00e2ncia de manter software atualizado e adotar pr\u00e1ticas de seguran\u00e7a proativas. Ao combinar atualiza\u00e7\u00f5es de software, scripts de mitiga\u00e7\u00e3o e treinamento de usu\u00e1rios, as organiza\u00e7\u00f5es podem reduzir significativamente o risco de explora\u00e7\u00e3o de vulnerabilidades zero-day e ataques de malware como o SmokeLoader.<\/p>\n Mantenha-se vigilante, atualizado e sempre questione arquivos suspeitos, especialmente em tempos de conflitos cibern\u00e9ticos intensos.<\/p>\n \u00a0<\/p>\nZone.Identifier<\/code>) para evitar a execu\u00e7\u00e3o autom\u00e1tica de scripts ou aplicativos potencialmente maliciosos.<\/p>\n![\"Figura](\"https:\/\/www.trendmicro.com\/content\/dam\/trendmicro\/global\/en\/research\/25\/a\/cve-2025-0411-ukrainian-organizations-targeted-in-zero-day-campaign-and-homoglyph-attacks\/fig1.png\")
<\/p>\nFigura 1. O Zone.Identifier do arquivo encapsulado externo<\/h6>\n
\n
\u0421\u043fi\u0441\u043e\u043a.do\u0441<\/code>, que parece ser um documento do Word (.doc), mas na verdade \u00e9 um arquivo compactado malicioso.<\/p>\n<\/li>\n\u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0438 \u0442\u0430 \u043f\u043b\u0430\u0442\u0435\u0436\u0438.7z<\/code> (arquivo externo) e \u0421\u043fi\u0441\u043e\u043a.do\u0441<\/code> (arquivo interno).<\/p>\n<\/li>\n\u041f\u043b\u0430\u0442\u0435\u0436\u043d\u043e\u0435 \u041f\u043e\u0440\u0443\u0447\u0435\u043d\u0438\u0435 \u0432 i\u043d\u043e\u0437\u0435\u043d\u043e\u0439 \u0432\u0430\u043b\u044e\u0442\u0435.pdf.exe<\/code> foram disfar\u00e7ados como documentos PDF para enganar os usu\u00e1rios e executar o malware SmokeLoader.<\/p>\n<\/li>\n<\/ul>\n# Verifica a vers\u00e3o do 7-Zip instalada<\/span>\n$7zipPath<\/span> = Get-Command<\/span> 7z.<\/span>exe -<\/span>ErrorAction SilentlyContinue\nif<\/span> (<\/span>$7zipPath<\/span>)<\/span> {<\/span>\n $version<\/span> = & $7zipPath<\/span>.<\/span>Source --<\/span>version |<\/span> Select-String<\/span> -<\/span>Pattern \"7-Zip (\\d+\\.\\d+)\"<\/span>\n if<\/span> (<\/span>$version<\/span>.<\/span>Matches.<\/span>Groups[<\/span>1]<\/span>.<\/span>Value -lt<\/span> \"24.09\"<\/span>)<\/span> {<\/span>\n Write-Host<\/span> \"7-Zip desatualizado. Atualizando para a vers\u00e3o 24.09...\"<\/span>\n # Baixa a vers\u00e3o mais recente do 7-Zip<\/span>\n Invoke-WebRequest<\/span> -<\/span>Uri \"https:\/\/www.7-zip.org\/a\/7z2409-x64.exe\"<\/span>
-<\/span>OutFile \"$env<\/span>:TEMP\\7z2409-x64.exe\"<\/span>\n # Instala silenciosamente<\/span>\n Start-Process<\/span> \"$env<\/span>:TEMP\\7z2409-x64.exe\"<\/span> -<\/span>ArgumentList \"\/S\"<\/span> -<\/span>Wait\n Write-Host<\/span> \"7-Zip atualizado com sucesso.\"<\/span>\n }<\/span> else<\/span> {<\/span>\n Write-Host<\/span> \"7-Zip j\u00e1 est\u00e1 atualizado.\"<\/span>\n }<\/span>\n}<\/span> else<\/span> {<\/span>\n Write-Host<\/span> \"7-Zip n\u00e3o est\u00e1 instalado.\"<\/span>\n}
<\/span><\/strong><\/pre>\n\n\n\n
Desative a execu\u00e7\u00e3o autom\u00e1tica de arquivos de fontes n\u00e3o confi\u00e1veis e configure o Windows para aplicar o MoTW corretamente:<\/p>\n# Desativa a execu\u00e7\u00e3o autom\u00e1tica de arquivos da internet<\/span>\nSet-ItemProperty<\/span> -<\/span>Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Associations\"<\/span>
-<\/span>Name \"LowRiskFileTypes\"<\/span> -<\/span>Value \".exe;.js;.wsf;.url\"<\/span>\n\n# Habilita a verifica\u00e7\u00e3o do MoTW<\/span>\nSet-ItemProperty<\/span> -<\/span>Path \"HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion
\\Policies\\Attachments\"<\/span> -<\/span>Name \"ScanWithAntiVirus\"<\/span> -<\/span>Value 1
<\/strong><\/pre>\n\n\n\nhosts<\/code><\/strong><\/p>\nhosts<\/code>\u00a0\u00e9 um arquivo de texto simples localizado em\u00a0C:\\Windows\\System32\\drivers\\etc\\hosts<\/code>. Ele \u00e9 usado para mapear nomes de dom\u00ednios (URLs) para endere\u00e7os IP espec\u00edficos. Quando voc\u00ea tenta acessar um site, o sistema operacional verifica primeiro o arquivo\u00a0hosts<\/code>\u00a0antes de consultar servidores DNS externos.<\/p>\nhosts<\/code><\/strong><\/p>\nhosts<\/code>:<\/p>\n\n
0.0.0.0<\/code><\/strong>: Este \u00e9 um endere\u00e7o IP inv\u00e1lido ou n\u00e3o rote\u00e1vel. Quando o sistema tenta acessar\u00a0malicious-domain.com<\/code>, ele \u00e9 redirecionado para\u00a00.0.0.0<\/code>, o que efetivamente bloqueia o acesso ao dom\u00ednio.<\/p>\n<\/li>\nmalicious-domain.com<\/code><\/strong>: Este \u00e9 o dom\u00ednio que voc\u00ea deseja bloquear. Substitua\u00a0malicious-domain.com<\/code>\u00a0pelo dom\u00ednio real que voc\u00ea deseja impedir que seja acessado.<\/p>\n<\/li>\n<\/ul>\n>><\/code><\/strong><\/p>\n>><\/code>\u00a0\u00e9 usado para\u00a0adicionar<\/strong>\u00a0a linha ao final do arquivo\u00a0hosts<\/code>\u00a0sem sobrescrever o conte\u00fado existente. Se o arquivo\u00a0hosts<\/code>\u00a0j\u00e1 contiver outras entradas, elas ser\u00e3o preservadas.<\/p>\n\u00a0<\/h3>\n
malicious-domain.com<\/code>\u00a0no sistema ser\u00e1 bloqueada. O navegador ou aplicativo n\u00e3o conseguir\u00e1 se conectar ao dom\u00ednio, pois ele ser\u00e1 redirecionado para um endere\u00e7o IP inv\u00e1lido (0.0.0.0<\/code>).<\/p>\napi-mi\u0441rosoft.com<\/code>\u00a0(usando um hom\u00f3glifo cir\u00edlico), voc\u00ea pode usar o comando:<\/p>\napi-mi\u0441rosoft.com<\/code>\u00a0resultar\u00e1 em um erro de conex\u00e3o.<\/p>\n\n
hosts<\/code>, voc\u00ea precisa executar o comando em um terminal com permiss\u00f5es de administrador.<\/p>\n<\/li>\nhosts<\/code>\u00a0em um editor de texto (como o Bloco de Notas) e remover a linha adicionada.<\/p>\n<\/li>\n<\/ul>\n\n