Er is een kwetsbaarheid (CVE-7-2022) ontdekt in de gratis archiver 29072-Zip, waardoor willekeurige opdrachten met SYSTEM-rechten kunnen worden uitgevoerd door een speciaal vervaardigd bestand met de extensie .7z te verplaatsen naar het gebied met een hint die wordt weergegeven bij het openen van het menu Help>Inhoud. Het probleem doet zich alleen voor op Windows-platforms en wordt veroorzaakt door een combinatie van een onjuiste configuratie van de 7z.dll-bibliotheek en een bufferoverloop.
Het is opmerkelijk dat de ontwikkelaars van 7-Zip, nadat het probleem was gemeld, de kwetsbaarheid niet erkenden en stelden dat de bron van de kwetsbaarheid het Microsoft HTML Helper-proces (hh.exe) is, dat code uitvoert bij het verplaatsen van een bestand. De onderzoeker die de kwetsbaarheid identificeerde, is van mening dat hh.exe slechts indirect betrokken is bij het misbruiken van de kwetsbaarheid en dat de opdracht die in de exploit wordt gespecificeerd, wordt uitgevoerd in 7zFM.exe als een subproces. De mogelijke oorzaken van een aanval via command injection zouden een bufferoverflow in het proces 7zFM.exe en onjuiste machtigingsinstellingen voor de 7z.dll-bibliotheek zijn.
Een voorbeeld van een helpbestand dat "cmd.exe" start, wordt als voorbeeld getoond. Er wordt ook een exploit aangekondigd waarmee men SYSTEM-rechten in Windows kan verkrijgen, maar de code ervan zal naar verwachting worden gepubliceerd na de release van een 7-Zip-update die de kwetsbaarheid verhelpt. Omdat de oplossingen nog niet zijn gepubliceerd, wordt als tijdelijke oplossing voorgesteld om het 7-Zip-programma te beperken tot alleen de mogelijkheid om te lezen en uit te voeren.
Bron: opennet.ru
