Bir tehdit aktörü, popüler arşivleme uygulaması 7-zip’i kötüye kullanabilir ve halihazırda erişime sahip oldukları bir cihazda yüksek ayrıcalıklar elde edebilir.
Kagancapar adındaki bir GitHub kullanıcısı, Windows işletim sistemi (OS) için 7-zip’te sıfır gün güvenlik açığı keşfetti. GitHub’da yayınlanan bulgular, “.7z uzantılı bir dosya Yardım>İçindekiler alanına sürüklendiğinde Windows’un ayrıcalık yükseltme ve komut yürütmeye izin verdiğini” ortaya çıkardı.
Nasıl çalışır: Bir tehdit aktörü kötü amaçlı bir dosya oluşturur ve ona .7z uzantısı verir (7-zip ile sıkıştırılmış bir arşivin sahip olabileceği uzantı). Daha sonra bu dosyayı 7-zip yardım penceresine sürükleyip bırakmaları ve yönetici modunda bir komut çalıştırmaları gerekir.
Bir yama bekliyorum
Bundan sonra, hedef uç noktada yükseltilmiş ayrıcalıklara sahip olacaklar ve daha karmaşık komutları çalıştırmalarına ve farklı uygulamaları çalıştırmalarına olanak tanıyacaklar. Daha fazla ayrıntı burada bulunabilir konsept kanıtı videosu.
Güvenlik açığı artık CVE-2022-29072 olarak izleniyor. En son 7-zip sürümü 21.07’dir ve geçen yıl Aralık ayının sonlarında yayınlanmıştır, bu da sıfırın gününün henüz yamalanmadığı anlamına gelir.
7-zip yoluyla potansiyel olarak hedef alınmaktan endişe edenler, 7-zip.chm dosyasını silerek sanal tesislerini koruyabilirler. Tom’un Donanımı bildirildi. Diğer bir yöntem, tüm kullanıcılar için 7-zip’e yalnızca okuma ve çalıştırma izinleri vermektir.
Dosya sıkıştırma şirketi, Windows’ta Microsoft Yardım’a bağlı olduğu göz önüne alındığında, kusurun sorumluluğunu almayı reddetmek dışında, güvenlik açığı hakkında fazla yorum yapmamış gibi görünüyor. Ancak Kagancapar’ın açıkladığı gibi, kötü amaçlı dosyayı Yardım penceresine bırakmak, 7zFM.exe’de bir yığın taşmasını tetikler ve bu da ayrıcalığın yükselmesine yol açar, yalnızca bu nedenle – sorunu ele alması gereken kişinin 7-zip olduğunu savunarak.
7-zip, popülaritesi yalnızca WinZIP ve WinRaR devleriyle rekabet eden en popüler üç dosya arşivleme uygulamasından biridir.
Aracılığıyla: Tom’un Donanımı