Używasz 7-Zip? Zabezpiecz się. Zobacz, jak to zrobić

Maksym SłomskiSkomentuj
Używasz 7-Zip? Zabezpiecz się. Zobacz, jak to zrobić
Wbrew temu, co mogłoby się wielu wydawać, alternatywy dla WinRar istnieją i wcale nie ograniczają się do równie popularnego programu WinZip. Całe mnóstwo osób korzysta z darmowego archiwizatora 7-Zip i nie dzieje się tak bez przyczyny. Skuteczność kompresji danych, obsługa wszystkich popularnych formatów oraz szyfrowanie AES-256 w przypadku archiwów 7z i ZIP to tylko wybrane z jego wielu zalet. Oprogramowanie ma też niestety jedną znaczącą wadę. Właśnie ją wykryto, a użytkownicy apki muszą póki co naprawić ją samodzielnie.

 

7-Zip z exploitem zero-day

W zeszłym tygodniu ekspert ds. bezpieczeństwa Kağan Çapar znalazł i opublikował tzw. exploit typu zero-day w 7-Zip, która umożliwia eskalację uprawnień i zdalne wykonywanie poleceń na komputerze ofiary. Oznaczony jako CVE-2022-29072, dotyczy użytkowników systemu Windows korzystających z 7-Zip 21.07 — obecnie najnowszej wersji programu.

Jak pokazuje poniższy materiał wideo, osoba atakująca z ograniczonym dostępem do systemu może aktywować lukę, otwierając okno „Pomoc” w 7-Zip z poziomu menu Pomoc -> Zawartość i przeciągając plik z rozszerzeniem .7z do tego okna. Każdy plik z tym rozszerzeniem będzie działał. To nie musi być nawet prawdziwe archiwum 7z.

Poprzez uruchomienie kolejnego procesu w ramach procesu 7zFM.exe, luka może podnieść uprawnienia atakującego i pozwolić mu na uruchamianie poleceń w systemie docelowym. Çapar za ten stan rzeczy obwinia błędną konfigurację w pliku 7z.dll i przepełnienie sterty (ang. heap overflow). Winny może być też plik pomocniczy Windows HTML ponieważ inne programy mogą umożliwiać wykonywanie poleceń za jego pośrednictwem. Çapar wspomina o podobnej luce, która działa poprzez plik pomocniczy Windows HTML i WinRAR.

Usunięcie pliku 7-zip.chm w folderze głównym 7-Zip może wyeliminować ten problem, dopóki programiści go nie załatają. Nie wiadomo, kiedy to nastąpi.

Źródło: YouTube, GitHub

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.