È stata identificata una vulnerabilità nel software di archiviazione 7-Zip (CVE-2022-29072) che consente di eseguire comandi arbitrari con privilegi di SYSTEM attraverso il posizionamento di un file appositamente formattato con estensione .7z nell'area di prompt visualizzata quando si apre il menu 'Help>Contents'. Il problema si manifesta solo sulla piattaforma Windows ed è causato da una configurazione errata della libreria 7z.dll e da un overflow del buffer.
È interessante notare che, dopo essere stati informati del problema, gli sviluppatori di 7-Zip non hanno riconosciuto la vulnerabilità e hanno affermato che la fonte della vulnerabilità è il processo Microsoft HTML Helper (hh.exe), che esegue codice durante il trasferimento di un file. L'esperto che ha scoperto la vulnerabilità ritiene che hh.exe partecipi solo indirettamente allo sfruttamento della vulnerabilità, e che il comando menzionato nell'exploit venga eseguito in 7zFM.exe come processo figlio. Le cause che permettono di effettuare attacchi tramite injection di comandi includono l'overflow del buffer nel processo 7zFM.exe e una configurazione errata dei diritti per la libreria 7z.dll.
Come esempio, è stato dimostrato un file di aiuto che esegue "cmd.exe". È anche stato annunciato un exploit in preparazione, che permette di ottenere privilegi SYSTEM in Windows, ma il suo codice sarà pubblicato dopo il rilascio dell'aggiornamento di 7-Zip con la correzione della vulnerabilità. Poiché le patch non sono ancora state pubblicate, si consiglia come misura temporanea di limitare a 7-Zip l'accesso in sola lettura ed esecuzione.
Fonte: opennet.ru
