WinZip Mark-of-the-Web绕过漏洞CVE-2024-8811

WinZip 是一款功能强大并且易用的压缩实用程序，专为 Microsoft Windows 而构建，支持 ZIP、CAB、TAR、GZIP、MIME，及更多格式。

WinZip可以紧密地与Windows资源管理器拖放集成，不用离开“资源管理器”就能进行“压缩/解压缩”操作，从而提供了无缝集成的本地体验。

一、基本情况

WinZip是Nico Mak Computing开发的著名ZIP压缩文件管理器，是首创且最流行的面向Windows的压缩工具，操作简便、压缩运行速度快。

WinZip 与Internet Explorer、Netscape Communication 等大多数浏览器实现无缝连接，大大方便Internet用户进行网上软件的下载、解压。

WinZip 可压缩、保护、管理和共享最重要的文件和文件夹，可以迅速压缩和解压文件，提高生产力，简化文件共享，并保持信息隐私性。

栋科技漏洞库关注到76.8版本之前WinZip版本中存在一个WinZip Mark-of-the-Web绕过漏洞，漏洞追踪为CVE-2024-8811，CVSS评分7.8。

二、漏洞分析

CVE-2024-8811漏洞是WinZip文件压缩工具中一个关键漏洞，该漏洞允许远程攻击者绕过WinZip安装程序上的Mark-of-the-Web保护机制。

该漏洞具体存在于处理压缩文件过程中，其利用WinZip在处理“网络标记”时的缺陷，这是Windows用于标记从互联网下载文件的安全特性。

WinZip在处理下载的带有 Mark-of-the-Web 的压缩文件时，WinZip 意外地从压缩文件中移除了 Mark-of-the-Web了这一重要的网络标记。

解压后解压的文件同样缺少 Mark-of-the-Web，这意味着即使用户下载了来自互联网的恶意文件并进行了压缩，WinZip也会移除警告标记。

对于用户而言这可能误导用户认为文件是安全的，对于攻击者而言，可能导致攻击者绕过重要的安全措施，并在用户系统上执行恶意代码。

具体攻击过程如下：

攻击者创建一个包含恶意文件的压缩文件并诱使用户下载该文件，这一诱导过程可能通过网络钓鱼邮件或者是被黑客攻击或者控制的网站。

当用户使用WinZip打开下载的文件时，由于软件去除了网络标记并且隐藏了文件的潜在危险来源，导致用户会在不知情的情况下提取文件。

而Windows可能不会执行适当的安全措施，从而使得攻击者的入侵计划得逞，导致攻击者利用该漏洞在当前用户的上下文中执行任意代码。

尽管该漏洞被利用的前提是需要用户与恶意页面或文件互动，目标用户必须访问恶意页面或打开恶意文件，但并不妨碍其潜在的高危风险。

成功利用该漏洞可能导致包括恶意软件执行、敏感信息被盗取以及系统被攻陷等严重后果，因此强烈建议受影响用户尽快更新WinZip版本。

三、漏洞影响

WinZip < 76.8

四、修复建议

WinZip >= 76.8

五、参考链接

https://www.zerodayinitiative.com/advisories/ZDI-24-1234/