Il file ZIP, noto per essere un archivio di file ampiamente utilizzato in tutto il mondo, consente di raggruppare diversi file in uno unico per vari scopi. A partire dal 2001, è stato integrato in Windows Explorer, apparendo come una cartella quando viene visualizzato.
È stato riscontrato (CVE 2023 36025) che un file dannoso, quando avviato normalmente in Windows, richiede di solito una conferma. Tuttavia, se viene avviato da un file ZIP, il processo viene eseguito senza richiedere autorizzazione. Questa peculiarità rappresenta un potenziale rischio di sicurezza da tenere in considerazione.
Ecco cosa succede (PoC):
È emerso che Microsoft ha rilasciato una patch per la vulnerabilità CVE-2023–36025 nel novembre del 2023. Tuttavia, a causa delle prove di sfruttamento a livello globale, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito questa vulnerabilità nell’elenco delle vulnerabilità conosciute sfruttate (KEV).
Facciamo attenzione perchè l’infostealer Phmedrone sfrutta la vulnerabilità critica in Windows SmartScreen!
Per proteggersi è necessario diffidare SEMPRE da file che hanno nell’icona la freccetta che sta ad indicare che è un collegamento ad un altro file.
Approfondimenti su: https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html
