Instalki.pl » Aktualności » Bezpieczeństwo » Używasz 7-Zip? Zabezpiecz się. Zobacz, jak to zrobić
Wtorek, 19 Kwiecień 2022 13:31, Wpisany przez Maksym Słomski
7zip
Zostałeś ostrzeżony.

Wbrew temu, co mogłoby się wielu wydawać, alternatywy dla WinRar istnieją i wcale nie ograniczają się do równie popularnego programu WinZip. Całe mnóstwo osób korzysta z darmowego archiwizatora 7-Zip i nie dzieje się tak bez przyczyny. Skuteczność kompresji danych, obsługa wszystkich popularnych formatów oraz szyfrowanie AES-256 w przypadku archiwów 7z i ZIP to tylko wybrane z jego wielu zalet. Oprogramowanie ma też niestety jedną znaczącą wadę. Właśnie ją wykryto, a użytkownicy apki muszą póki co naprawić ją samodzielnie.

7-Zip z exploitem zero-day


W zeszłym tygodniu ekspert ds. bezpieczeństwa Kağan Çapar znalazł i opublikował tzw. exploit typu zero-day w 7-Zip, która umożliwia eskalację uprawnień i zdalne wykonywanie poleceń na komputerze ofiary. Oznaczony jako CVE-2022-29072, dotyczy użytkowników systemu Windows korzystających z 7-Zip 21.07 — obecnie najnowszej wersji programu.

Jak pokazuje poniższy materiał wideo, osoba atakująca z ograniczonym dostępem do systemu może aktywować lukę, otwierając okno "Pomoc" w 7-Zip z poziomu menu Pomoc -> Zawartość i przeciągając plik z rozszerzeniem .7z do tego okna. Każdy plik z tym rozszerzeniem będzie działał. To nie musi być nawet prawdziwe archiwum 7z.



Poprzez uruchomienie kolejnego procesu w ramach procesu 7zFM.exe, luka może podnieść uprawnienia atakującego i pozwolić mu na uruchamianie poleceń w systemie docelowym. Çapar za ten stan rzeczy obwinia błędną konfigurację w pliku 7z.dll i przepełnienie sterty (ang. heap overflow). Winny może być też plik pomocniczy Windows HTML ponieważ inne programy mogą umożliwiać wykonywanie poleceń za jego pośrednictwem. Çapar wspomina o podobnej luce, która działa poprzez plik pomocniczy Windows HTML i WinRAR.

Usunięcie pliku 7-zip.chm w folderze głównym 7-Zip może wyeliminować ten problem, dopóki programiści go nie załatają. Nie wiadomo, kiedy to nastąpi.

Źródło: YouTube, GitHub