7-Zip Свободный файловый архиватор

Продукт
Дата премьеры системы: 1999
Технологии: Офисные приложения

7-Zip — свободный файловый архиватор.

2022: Уязвимость в версии для Windows, которая позволяет изменить права пользователя до уровня администратора

19 апреля 2022 года стало известно о том, что архиватор 7-Zip может применяться для взлома компьютеров, об этом пишет портал Tom’s Hardware. В нем содержится опасная уязвимость, при правильной эксплуатации которой можно изменить права пользователя на отдельно взятом компьютере до уровня администратора. Первым проблему выявил пользователь портала GitHub под псевдонимом Kagancapar.

Image:7-Zip.png
7-Zip

Как сообщалось, проблема проявляется в 7-Zip исключительно в версии для Windows. Пользователей других ОС, включая Linux и macOS, данная уязвимость не затрагивает.

Брешь получила индекс CVE-2022-29072. Она присутствует во всех актуальных версиях архиватора, в том числе 21.х. На 19 апреля 2022 года патч, устраняющий ее, отсутствовал – последняя стабильная сборка 7-Zip вышла в конце декабря 2021 г. и имеет индекс 21.07.

Пользователи Windows, архивирующие файлы при помощи 7-Zip, потенциально могут находиться под угрозой взлома через архиватор в течение еще долгого времени. Разработчики не спешат признавать, что проблема скрывается в именно в их творении, и предпочитают винить Microsoft. Последняя, к слову, весной 2022 г. покинула российский рынок, а принадлежащий ей GitHub в апреле 2022 г. начал блокировать пользователей из России.

Со слов разработчиков, во всем виноват вовсе не сам 7-Zip, а сторонний процесс Microsoft HTML Helper, он же hh.exe. Исследователи, а также обнаруживший брешь пользователь GitHub Kagancapar считают, что hh.exe если и участвует в эксплуатации уязвимости, то лишь очень косвенно.

Использовать брешь CVE-2022-29072 киберпреступники могут при помощи специального файла формата .7z – это расширение архивных файлов, с которыми по умолчанию работает 7-Zip. Для этого достаточно лишь перенести данный файл в область графического интерфейса архиватора с подсказкой, отображаемой при открытии подменю Contents в меню помощи (Help).

Здесь начинает сбоить процесс 7zFM.exe, в котором возникает переполнение буфера. Также, со слов исследователей, в архиваторе неверно настроены права использования библиотеки 7z.dll. В совокупности все это и дает хакерам возможность получить на ПК жертвы права администратора.

Приложение Microsoft HTML Helper действительно косвенно связано с проблемой, обнаруженной в 7-Zip. Файл справки по архиватору хранится в формате .chm, регулярно используемом для подобного типа документов, и открывается он именно посредством hh.exe.

Собственно, одним только этим причастность Microsoft к проблеме и ограничивается. Сам сбой и возможность эксплуатации уязвимости проявляются при манипуляции с меню помощи.

Выход из ситуации на деле очень прост и не требует от пользователей значительных усилий или углубленных знаний. От них требуется лишь удалить файл со справкой, расположенный в установочном каталоге самого архиватора и называющийся 7-zip.chm. Как пишет Tom’s Hardware, этого будет вполне достаточно для обеспечения защиты от взлома через эксплуатацию бреши CVE-2022-29072. Единственное, пользователи лишатся доступа к справочным материалам по архиватору, но далеко не факт, что они обращаются к ним на ежедневной основе.

Существует и второй, немного более сложный в реализации способ, не требующий удаления файла справки. Каждому из присутствующих на ПК пользовательских профилей следует ограничить права доступа к 7-Zip только чтением и запуском.

После выпуска обновления, закрывающего брешь, ограничения с прав доступа к архиватору можно будет снять. Однако дату его релиза разработчики на 19 апреля 2022 г. не раскрывали[1].

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2019 год
2020 год
2021 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2019 год
2020 год
2021 год
Текущий год