Die 7-Zip-Sicherheitslücke wurde von Ryota Shiga von GMO Flatt Security Inc. entdeckt und hängt mit der Art und Weise zusammen, wie ältere 7-Zip-Versionen symbolische Links in ZIP-Dateien verarbeiten. Symbolische Links sind Verknüpfungen zu anderen Dateien oder Ordnern. Laut der Zero Day Initiative (ZDI) von Trend Micro handelt es sich um einen Directory-Traversal-RCE-Fehler (Remote Code Execution).
Das bedeutet, dass eine speziell präparierte ZIP-Datei das 7-Zip-Programm während des Entpackens dazu verleiten kann, in nicht autorisierte Systemverzeichnisse zu wechseln. Dadurch kann ein Angreifer unerwünschte Programme ausführen oder beliebigen Code ausführen. Die mit einem Wert von 7,0 auf der CVSS-Skala eingestufte Sicherheitslücke betrifft Windows-Systeme und erfordert, dass das anvisierte Opfer, die kompromittierte ZIP-Datei öffnet. Erst dann kommen die Angreifer zum Zug.
Besonders drei Faktoren machen die Sicherheitslücke so gefährlich. Zum einen verschafft sie Angreifern die Möglichkeit, Code mit hohen Rechten auszuführen, was im schlimmsten Fall dazu führt, dass das angegriffene System vollständig übernommen werden kann. Hinzu kommt, dass die Ausnutzung für Cyberkriminelle recht einfach ist, denn das Opfer muss lediglich, beispielsweise durch Phishing dazu gebracht werden, ein manipuliertes Archiv zu öffnen. Der dritte Punkt ist die weltweite Verbreitung von 7-Zip, die den Hackern eine riesige Zahl an potenziellen Opfern beschert.
Die gute Nachricht ist, dass das Problem mit Version 25.00 bereits behoben wurde. Doch das Update auf diese oder die aktuelle Version 25.01 erfordert, dass die Nutzer aktiv werden, da 7-Zip über keinen automatischen Aktualisierungsprozess verfügt. Angreifern spielt das natürlich in die Hände, da ein großer Teil der Nutzer des Programms auch weiter mit veralteten Versionen arbeitet.
Die Bedrohung durch CVE-2025-11001 ist zuletzt drastisch gestiegen, seit der Sicherheitsforscher Dominik (auch bekannt als pacbypass) einen funktionierenden PoC-Exploit öffentlich zugänglich gemacht und Cyberkriminellen damit eine einfache Angriffsvorlage eröffnet hat. Dessen ist man sich auch bei Microsoft bewusst, denn auch dort verfolgt man böswillige Aktivitäten im Zusammenhang mit dieser Lücke bereits unter der Bezeichnung Exploit:Python/CVE 2025 11001.SA!MTB.
Nutzer von 7-Zip sollten daher schnellstmöglich überprüfen, welche Version des Programms installiert ist und gegebenenfalls ein Update durchführen. Nur so können sie sich vor Angriffen auf CVE-2025-11001 schützen und ihre Systeme vor der Übernahme durch Cyberkriminelle bewahren.
Über die 8com GmbH & Co. KG
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
