La dernière version de 7-Zip affectée par une faille zero-day
Une faille de sécurité zero-day a été découverte dans 7-Zip 21.07 et elle permettrait à un attaquant d'effectuer une élévation de privilèges et d'exécuter du code arbitraire sur la machine locale. Faisons le point.
Pour rappel, 7-Zip est un logiciel de gestion d'archives très populaire que l'on retrouve sur de nombreux ordinateurs, et qui permet de manipuler des archives ZIP, mais aussi GZIP, TAR ou encore 7z. Depuis le 26 décembre 2021, 7-Zip 21.07 pour Windows est disponible et il s'agit de la version la plus récente disponible à ce jour. C'est aussi cette version qui est concernée par la faille de sécurité associée à la référence CVE-2022-29072.
Dans la pratique, cette vulnérabilité permet à un attaquant d'élever ses privilèges et d'exécuter du code arbitraire sur la machine locale grâce à une invite de commande qui s'ouvre avec les droits "SYSTEM". Comment ? Et bien, en prenant un fichier avec l'extension ".7z" et en le faisant glisser sur la section "Aide" > "Contenu" du menu de 7-Zip.
D'après l'analyse publiée sur le site de SOC Prime, cette faille zero-day est liée à une mauvaise configuration dans le fichier "7z.dll". Le fait de glisser le fichier 7z dans la zone "Contenu" de 7-Zip va générer un processus enfant "cmd.exe" sous le processus 7zFM.exe.
Comment se protéger de la vulnérabilité CVE-2022-29072 ?
La mauvaise nouvelle, c'est qu'il n'existe pas de correctifs pour le moment. Si vous utilisez 7-Zip en version 21.07, suivez de près la sortie d'une nouvelle version dans les prochains jours afin de la déployer sur vos machines.
En attendant, vous pouvez protéger vos machines en supprimant le fichier "7-zip.chm" qui est stocké dans le répertoire d'installation de 7-Zip (par défaut "C:\Program Files\7-Zip"). Pour remédier à ce problème. Suite à cette manipulation assez simple, l'aide ne sera plus disponible dans le logiciel, mais vos machines seront protégées contre la faille de sécurité CVE-2022-29072.
La vidéo ci-dessous montre que c'est très simple d'exploiter cette vulnérabilité.
Mise à jour du 21 avril 2022 à 07h30 :
Sur le site du MITRE, le statut de cette vulnérabilité a évolué ces dernières heures. En effet, la mention "DISPUTED" a été ajoutée car l'existence de cette vulnérabilité est remis en cause. Vous allez me dire "pourquoi ?", et bien, certaines personnes ont souhaitées reproduire ce que Kağan Çapar a fait dans sa vidéo, sans y parvenir. Visiblement, il refuse de partager des informations publiquement car la faille n'a pas été corrigée dans 7-Zip pour le moment. Tout n'est pas clair, donc méfiance, mais c'est à suivre de près !
Hello Florian,
Merci pour l’info et le tips qui va avec 😉
Étonné que vous relayez cette faille qui de par sa nature n’est même pas intéressante pour un hacker… Faux problème face à l’immensité d’autres failles qui existent, exploitable que localement (en etant deja logué 😄) . Un embrasement médiatique geek qui n’est conditionné que par le fait que bcp de monde utilise 7zip et non par la dangerosité de cette faille. Bref useless
Hello,
Je suis d’accord avec vous sur le fait qu’il existe beaucoup de failles, dans d’autres logiciels voire même dans le système, mais il me semble intéressant de parler de celle-ci car elle affecte un logiciel que l’on retrouve – presque – partout. Personnellement, j’ai trouvé pertinent le fait de relayer cette information, rien que pour montrer (et rappeler) à quel point un bug dans un logiciel peut avoir des conséquences sur une machine locale.
A+
Florian
Hello,
Sur le site Cublic ils mettent en doute cette vulnérabilité, vous avez lu l’article ?
Autrement merci pour le travail quotidien 🙂
Hello Arnaud,
Non je ne l’avais pas vu, j’ai ajouté la précision dans mon article à ce sujet. Merci 🙂
Je confirme. J’ai mis à jour et testé l’exploitation de la faille, ça me propose de télécharger le fichier compressé. Nécessite t’elle des conditions particulières pour être reproduite ?
Bonjour,
Elle nécessite certes un accès direct à l’ordinateur, mais elle est simple à exploiter et permet d’avoir le privilège SYSTEM, soit le plus important sur Windows. Elle peut facilement être utilisé dans certaines conditions pour un mouvement latéral, pour récupérer par exemple des identifiants à privilège. Il faut prendre en compte que les attaques actuelles se font en plusieurs étapes et utilisent plusieurs techniques pour progresser au fur et à mesure. Il est tout à fait intéressant de connaître ce risque, sachant que 7-zip est présent un peu partout. En sécurité informatique, on ne peut pas considérer une faille aussi simple à exploiter et permettant d’avoir de tels privilèges sur une machine comme insignifiante
Bonjour,
Si l’information est vérifiée, elle est tout sauf inutile ! On peut tout à fait avoir un accès local en ayant des limitations et la sécurité d’un SI ne se limite pas à se protéger uniquement des hackers, l’utilisateur final peut facilement augmenter ses privilèges pour faire ce qu’il veut de sa machine, voir introduire volontairement ou involontairement des failles.
Si on regarde le Github (https://github.com/kagancapar/CVE-2022-29072) de l’auteur de la CVE, on peut y lire, qu’il est libre de diffuser le code après la mise à jour du logiciel impacté. Voici la traduction du turc au français :
J’ai expliqué les points nécessaires au développeur et cela a été accepté par le CVE. Je ne peux pas comprendre la perception que les gens pensent qu’ils sont l’autorité et que je dois leur donner l’exploit. Bien que j’aie déjà déclaré que je publierai après la mise à jour, je pense que ce manque de respect sans la mise à jour est dû au fait que vous vous considérez comme une autorité. Je ne voudrai peut-être jamais publier le code poc de l’attaque d’escalade, c’est mon libre arbitre et je me fiche de ce que quiconque pense de remettre en question l’exactitude de cela.
Et si on remet la version 21.06, on est toujours vulnérable ?