Nell'archiviatore gratuito 7-Zip è stata individuata una vulnerabilità (CVE-2022-29072) che consente di eseguire comandi arbitrari con privilegi SYSTEM spostando un file appositamente progettato con estensione .7z nell'area con un suggerimento mostrato all'apertura il menu “Aiuto>Contenuti”. Il problema appare solo sulla piattaforma Windows ed è causato da una combinazione di errata configurazione di 7z.dll e buffer overflow.
È interessante notare che dopo essere stati informati del problema, gli sviluppatori di 7-Zip non hanno riconosciuto la vulnerabilità e hanno affermato che la fonte della vulnerabilità era il processo Microsoft HTML Helper (hh.exe), che esegue il codice quando il file viene spostato. Il ricercatore che ha identificato la vulnerabilità ritiene che hh.exe sia coinvolto solo indirettamente nello sfruttamento della vulnerabilità e che il comando specificato nell'exploit venga avviato in 7zFM.exe come processo figlio. I motivi per cui potrebbe verificarsi un attacco tramite command injection sarebbero un buffer overflow nel processo 7zFM.exe e un'errata impostazione dei diritti per la libreria 7z.dll.
Ad esempio, viene mostrato un file della guida di esempio che esegue "cmd.exe". Si annuncia inoltre che verrà preparato un exploit che permetterà di ottenere i privilegi SYSTEM in Windows, ma la pubblicazione del suo codice è prevista dopo il rilascio dell'aggiornamento 7-Zip che elimina la vulnerabilità. Poiché le correzioni non sono state ancora pubblicate, come soluzione alternativa per la protezione, si propone di limitare l'accesso del programma 7-zip alla sola lettura ed esecuzione.
Fonte: opennet.ru