Er is een kwetsbaarheid (CVE-7-2022) geïdentificeerd in het gratis archiveringsprogramma 29072-Zip, waarmee willekeurige opdrachten kunnen worden uitgevoerd met SYSTEEM-rechten door een speciaal ontworpen bestand met de extensie .7z te verplaatsen naar het gebied waar een hint wordt weergegeven bij het openen het menu “Help>Inhoud”. Het probleem doet zich alleen voor op het Windows-platform en wordt veroorzaakt door een combinatie van een verkeerde configuratie van 7z.dll en een bufferoverflow.
Het is opmerkelijk dat de 7-Zip-ontwikkelaars, nadat ze op de hoogte waren gesteld van het probleem, de kwetsbaarheid niet erkenden en verklaarden dat de bron van de kwetsbaarheid het Microsoft HTML Helper-proces (hh.exe) was, dat code uitvoert wanneer het bestand wordt verplaatst. De onderzoeker die het beveiligingslek heeft geïdentificeerd, is van mening dat hh.exe slechts indirect betrokken is bij het misbruiken van het beveiligingslek, en dat de opdracht die in de exploit is opgegeven, in 7zFM.exe wordt gestart als een onderliggend proces. De redenen voor de mogelijkheid om een aanval uit te voeren via opdrachtinjectie zouden een bufferoverflow in het 7zFM.exe-proces en onjuiste rechteninstellingen voor de 7z.dll-bibliotheek zijn.
Als voorbeeld wordt een voorbeeld van een Help-bestand weergegeven waarin "cmd.exe" wordt uitgevoerd. Er wordt ook aangekondigd dat er een exploit zal worden voorbereid waarmee iemand SYSTEEMrechten in Windows kan verkrijgen, maar de code ervan zal naar verwachting worden gepubliceerd na de release van de 7-Zip-update die de kwetsbaarheid elimineert. Omdat de oplossingen nog niet zijn gepubliceerd, wordt als tijdelijke oplossing voor de bescherming voorgesteld om de toegang van het 7-zip-programma te beperken tot alleen lezen en uitvoeren.
Bron: opennet.ru