7-Zip Свободный файловый архиватор

Продукт
Дата премьеры системы: 1999
Технологии: Офисные приложения

7-Zip — свободный файловый архиватор.

2022: Уязвимость в версии для Windows, которая позволяет изменить права пользователя до уровня администратора

19 апреля 2022 года стало известно о том, что архиватор 7-Zip может применяться для взлома компьютеров, об этом пишет портал Tom’s Hardware. В нем содержится опасная уязвимость, при правильной эксплуатации которой можно изменить права пользователя на отдельно взятом компьютере до уровня администратора. Первым проблему выявил пользователь портала GitHub под псевдонимом Kagancapar.

Image:7-Zip.png
7-Zip

Как сообщалось, проблема проявляется в 7-Zip исключительно в версии для Windows. Пользователей других ОС, включая Linux и macOS, данная уязвимость не затрагивает.

Брешь получила индекс CVE-2022-29072. Она присутствует во всех актуальных версиях архиватора, в том числе 21.х. На 19 апреля 2022 года патч, устраняющий ее, отсутствовал – последняя стабильная сборка 7-Zip вышла в конце декабря 2021 г. и имеет индекс 21.07.

Пользователи Windows, архивирующие файлы при помощи 7-Zip, потенциально могут находиться под угрозой взлома через архиватор в течение еще долгого времени. Разработчики не спешат признавать, что проблема скрывается в именно в их творении, и предпочитают винить Microsoft. Последняя, к слову, весной 2022 г. покинула российский рынок, а принадлежащий ей GitHub в апреле 2022 г. начал блокировать пользователей из России.

Со слов разработчиков, во всем виноват вовсе не сам 7-Zip, а сторонний процесс Microsoft HTML Helper, он же hh.exe. Исследователи, а также обнаруживший брешь пользователь GitHub Kagancapar считают, что hh.exe если и участвует в эксплуатации уязвимости, то лишь очень косвенно.

Использовать брешь CVE-2022-29072 киберпреступники могут при помощи специального файла формата .7z – это расширение архивных файлов, с которыми по умолчанию работает 7-Zip. Для этого достаточно лишь перенести данный файл в область графического интерфейса архиватора с подсказкой, отображаемой при открытии подменю Contents в меню помощи (Help).

Здесь начинает сбоить процесс 7zFM.exe, в котором возникает переполнение буфера. Также, со слов исследователей, в архиваторе неверно настроены права использования библиотеки 7z.dll. В совокупности все это и дает хакерам возможность получить на ПК жертвы права администратора.

Приложение Microsoft HTML Helper действительно косвенно связано с проблемой, обнаруженной в 7-Zip. Файл справки по архиватору хранится в формате .chm, регулярно используемом для подобного типа документов, и открывается он именно посредством hh.exe.

Собственно, одним только этим причастность Microsoft к проблеме и ограничивается. Сам сбой и возможность эксплуатации уязвимости проявляются при манипуляции с меню помощи.

Выход из ситуации на деле очень прост и не требует от пользователей значительных усилий или углубленных знаний. От них требуется лишь удалить файл со справкой, расположенный в установочном каталоге самого архиватора и называющийся 7-zip.chm. Как пишет Tom’s Hardware, этого будет вполне достаточно для обеспечения защиты от взлома через эксплуатацию бреши CVE-2022-29072. Единственное, пользователи лишатся доступа к справочным материалам по архиватору, но далеко не факт, что они обращаются к ним на ежедневной основе.

Существует и второй, немного более сложный в реализации способ, не требующий удаления файла справки. Каждому из присутствующих на ПК пользовательских профилей следует ограничить права доступа к 7-Zip только чтением и запуском.

После выпуска обновления, закрывающего брешь, ограничения с прав доступа к архиватору можно будет снять. Однако дату его релиза разработчики на 19 апреля 2022 г. не раскрывали[1].

Примечания



СМ. ТАКЖЕ (2)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (176)
  МойОфис (ООО Новые облачные технологии) (79)
  Синтеллект (Syntellect) (76)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (51)
  Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (36)
  Другие (904)

  Синтеллект (Syntellect) (52)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14)
  Almi Partner, Алми партнер (ГК Алми) (9)
  Softline (Софтлайн) (9)
  CommuniGate Systems (СталкерСофт) (5)
  Другие (82)

  Датапакс (11)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9)
  CommuniGate Systems (СталкерСофт) (5)
  Qsoft (Кьюсофт) (4)
  МойОфис (ООО Новые облачные технологии) (4)
  Другие (54)

  Cloud4Y (ООО Флекс) (8)
  Корус Консалтинг (8)
  Qsoft (Кьюсофт) (7)
  Датапакс (6)
  Яндекс (Yandex) (6)
  Другие (57)

  Softline (Софтлайн) (3)
  Unlimited Production (Анлимитед Продакшен, eXpress) (3)
  СКБ Контур (3)
  Корус Консалтинг (3)
  Cloud4Y (ООО Флекс) (2)
  Другие (26)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (61, 476)
  МойОфис (ООО Новые облачные технологии) (12, 89)
  Синтеллект (Syntellect) (2, 77)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (2, 62)
  СБК (Система безопасных коммуникаций) (2, 41)
  Другие (618, 475)

  Синтеллект (Syntellect) (2, 52)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18)
  Microsoft (6, 15)
  СБК (Система безопасных коммуникаций) (1, 11)
  The Document Foundation (2, 10)
  Другие (32, 48)

  СБК (Система безопасных коммуникаций) (1, 9)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9)
  МойОфис (ООО Новые облачные технологии) (2, 5)
  Qsoft (Кьюсофт) (1, 4)
  Тест АйТи (Test IT) (1, 3)
  Другие (17, 19)

  Корус Консалтинг (1, 8)
  МойОфис (ООО Новые облачные технологии) (1, 8)
  Cloud4Y (ООО Флекс) (1, 7)
  Qsoft (Кьюсофт) (1, 7)
  Яндекс (Yandex) (1, 7)
  Другие (21, 40)

  РуПост (3, 3)
  VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 3)
  Корус Консалтинг (1, 3)
  СКБ Контур (1, 3)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3)
  Другие (15, 17)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft Office - 189 (58, 131)
  Microsoft 365 (ранее Office 365) - 131 (127, 4)
  Новые облачные технологии: МойОфис - 94 (73, 21)
  Skype for Business (ранее Microsoft Lync) - 68 (67, 1)
  Р7-Офис - 62 (62, 0)
  Другие 420

  Syntellect Tessa Мобильное согласование - 30 (30, 0)
  Syntellect Tessa Графический визуализатор процессов - 28 (28, 0)
  Р7-Офис - 18 (18, 0)
  CommuniGate Pro - 11 (11, 0)
  LibreOffice - 9 (0, 9)
  Другие 35

  CommuniGate Pro - 9 (9, 0)
  Р7-Офис - 9 (9, 0)
  Новые облачные технологии: МойОфис - 6 (5, 1)
  Qsoft Teamly Система управления знаниями - 4 (4, 0)
  Test IT TMS (Test Management System) - 3 (3, 0)
  Другие 16

  Корус Консалтинг: K-Team - 8 (8, 0)
  Новые облачные технологии: МойОфис - 8 (8, 0)
  Яндекс 360 (ранее Почта 360) - 7 (7, 0)
  Qsoft Teamly Система управления знаниями - 7 (7, 0)
  Microsoft Hosted Exchange - 7 (0, 7)
  Другие 30

  EXpress Защищенный корпоративный мессенджер - 3 (3, 0)
  Контур.Толк - 3 (3, 0)
  Корус Консалтинг: K-Team - 3 (3, 0)
  Microsoft Hosted Exchange - 2 (0, 2)
  RuPost Система управления корпоративной почтой - 2 (2, 0)
  Другие 15