maj 16, 2026 eBuilder ingår avtal kring SOC/MDR med en TechHub.
maj 11, 2026 eBuilder ingår avtal kring SOC/MDR och automatiserade pentester med ett förlag.
maj 8, 2026 eBuilder ingår avtal kring pentester med ett världsledande petrokemisk producent.
april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
Company News
mobile-menu-icon
Sårbarheter

Två 7-Zip-sårbarheter utnyttjas aktivt, trots att båda rättades för månader sedan

Blog Reading Time 5 Lästid / maj 26, 2026

Två sårbarheter i 7-Zip utnyttjas i verkliga angrepp, trots att båda redan hade rättats när attackerna började. CVE-2025-0411 rättades i november 2024 och CVE-2025-11001 rättades i juli 2025. Att de fortfarande är aktuella beror på en enkel men viktig detalj: 7-Zip saknar automatisk uppdatering. En säkerhetsfix som släpptes för flera månader sedan skyddar därför bara de system där någon manuellt har installerat uppdatering.

De två sårbarheterna har lite gemensamt utöver produktnamnet. Att behandla dem som en enda historia om två 7-Zip-CVE:er, som flera säkerhetsmeddelanden gjort, döljer att det rör sig om olika buggar, hittade av olika forskare och utnyttjade på olika sätt.

MotW-bypassen som drabbade ukrainska myndigheter

CVE-2025-0411 låter en angripare ta bort Mark-of-the-Web-flaggan från filer inuti ett arkiv. Windows använder flaggan för att markera allt som hämtats från internet som otillförlitligt, vilket är det som utlöser SmartScreen-varningen innan du kör en okänd körbar fil. Trend Micros Zero Day Initiative, som hittade sårbarheten, visade att ett arkiv inuti ett annat arkiv hindrade 7-Zip från att föra flaggan vidare till de inre filerna. Packa upp arkivet och payloaden körs utan varning.

Peter Girnus vid Zero Day Initiative kopplade kampanjen till ryska cyberkriminella grupper, som från åtminstone september 2024 använde den i spear-phishing mot ukrainska mål. Angriparna förklädde körbara filer till Word-dokument med hjälp av homoglyfer, alltså latinska bokstäver utbytta mot visuellt identiska kyrilliska, för att leverera skadlig kod av typen SmokeLoader. Trend Micro räknade till minst nio drabbade ukrainska organisationer, däribland justitieministeriet och Kievs vatten- och kollektivtrafikbolag.

7-Zips upphovsman Igor Pavlov rättade sårbarheten i version 24.09, släppt den 30 november 2024. En fungerande proof-of-concept är nu offentlig.

Symlink-buggen som kräver ett service-konto för att bita

CVE-2025-11001 är en directory traversal-sårbarhet. En preparerad ZIP-fil med skadliga symboliska länkar kan få 7-Zip att skriva filer utanför mappen du packade upp till, vilket under rätt förutsättningar blir remote code execution. Ryota Shiga vid GMO Flatt Security rapporterade den, och rättningen kom i version 25.00 i juli 2025, tillsammans med en närmast identisk släkting, CVE-2025-11002.

Förutsättningen är avgörande, och de flesta rapporter gick förbi den. Enligt Zero Day Initiative körs koden i kontexten för ett service-konto, vilket innebär att fullt utnyttjande kräver att 7-Zip körs med förhöjda rättigheter eller på en maskin med developer mode aktiverat. På ett vanligt skrivbord lämnar ett dubbelklick på en skadlig ZIP knappast ifrån sig systemet. På en byggserver eller en automatiserad uppackningspipeline som körs som tjänst är saken en annan.

NHS England Digital bekräftade aktivt utnyttjande i ett meddelande den 18 november 2025. En forskare under aliaset PacBypass hade redan publicerat en proof-of-concept efter att ha jämfört koden mellan version 24.09 och 25.00, vilket är det vanliga sättet som den här sortens redan rättade men ej offentliggjorda buggar görs till vapen.

Varför kritisk överdriver poängen

Båda CVE:erna har ett CVSS-värde på 7,0. Det är High, inte Critical, i den vanliga skalan, och både NVD och Zero Day Initiative sätter dem där. Flera leverantörers säkerhetsmeddelanden har ändå rundat upp språket till kritisk. Skälet är verkligt men det är inte poängen: 7-Zip är installerat på ett enormt antal maskiner, mycket av det utanför all central patchhantering, och en rättning som ingen tillämpar är värd noll. Risken bor i spridningen, inte i CVSS-värdet.

Uppdatera till 25.00, för inget annat gör det

Kontrollera vilken version du kör. Allt före 24.09 är exponerat för MotW-bypassen; allt före 25.00 är exponerat för symlink-sårbarheterna. Version 25.00 stänger båda, och 25.01 rättar dessutom en senare fil-skrivbugg kopplad till symboliska länkar, CVE-2025-55188, så 25.01 eller senare är den version att standardisera på.

Det finns ingen uppdaterare som gör detta åt dig. Inventera varje maskin och byggagent som har 7-Zip installerat, inklusive de kopior som följer med inuti andra verktyg, och byt ut dem. Tills dess: behandla ZIP-filer från otillförlitliga källor som fientliga, särskilt på system där 7-Zip körs med förhöjda rättigheter.

Källor

  1. CVE-2025-0411: Ukrainian Organizations Targeted in Zero-Day Campaign and Homoglyph Attacks
  2. Russian Cybercrime Groups Exploiting 7-Zip Flaw to Bypass Windows MotW Protections
  3. NVD – CVE-2025-0411
  4. ZDI-25-949
  5. Hackers Actively Exploiting 7-Zip Symbolic Link-Based RCE Vulnerability
  6. Public PoC Exploit for 7-Zip Vulnerability Is Available
  7. 7-Zip RCE Flaw CVE-2025-11001 Actively Exploited in Attacks in the Wild
  8. Active Exploitation of 7-Zip RCE Vulnerability Shows Why Manual Patching Is No Longer an Option

This post is also available in: English

Related News

Verizon DBIR Vulnerability Exploitation Overtakes Credentials as Top Breach Vector

Verizon DBIR: Sårbarhetsutnyttjande går om inloggningsuppgifter som främsta väg in vid dataintrång

Cyber News Calendar icon maj 21, 2026
Critical n8n Sandbox Escape Exposes 100,000 Automation Instances to Remote Takeover

Kritisk n8n-sårbarhet exponerar 100 000 automationsinstanser för fjärrövertagning

Cyber News Calendar icon maj 20, 2026
Fortinet and Ivanti Close Critical Security Holes. Two Still Await AI-Driven Discovery

Fortinet och Ivanti täpper kritiska säkerhetshål: AI hittar två nya

Cyber News Calendar icon maj 14, 2026

Zero-click-sårbarhet i Microsoft 365 Copilot läckte känsliga data via e-post

Microsoft 365 Copilot innehöll en kritisk zero-click-sårbarhet som gjorde att angripare kunde stjäla känsliga företagsdata genom att bara skicka ett skadligt e-postmeddelande. Sårbarheten, som upptäcktes…

Cyber News Calendar icon maj 13, 2026
Single Git Push Could Have Compromised Millions of GitHub Repositories

Ett enda git push kunde kompromettera miljontals GitHub-repositorier

Cyber News Calendar icon april 30, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss