CVE-2025-0411 ve 7-Zip'in Varsayılan MOTW Davranışı Üzerine Notlar Önsöz Bu yazı, bir SOC eğitimine hazırlık sürecinde rastladığım bir tutarsızlığın hikayesi. CVE-2025-0411'in (PoC reposunu - https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC) lab ortamında reproduce etmeye çalışırken, public raporlarda anlatılan davranışla kendi gözlemim arasında kritik bir fark olduğunu gördüm. Bu fark, zafiyetin sadece "çift-encapsulated arşivler" senaryosuyla sınırlı kalmadığını, aslında daha geniş bir saldırı yüzeyi açtığını gösteriyor. Bu bir yeni vulnerability disclosure değil. CVE-2025-0411 zaten 2024 Kasım'ında [Trend Micro ZDI](https://www.zerodayinitiative.com/advisories/ZDI-25-045/) tarafından açıklandı ve 7-Zip 24.09 ile yamalandı. Benim yazım bir post-mortem analiz ve lab deneyimi paylaşımı, özellikle SOC analistleri ve DFIR uzmanlarının dikkatini çekmesi gereken bir konfigürasyon detayı üzerinde duruyor. Not:Tüm testler izole bir lab ortamında, zararsız `calc.exe`...
DFIR, Detection Engineering, SOC Operasyonları ve Threat Hunting Notları