Nell’articolo dove si denunciava la presenza di software obsoleti, sia front che backend, utilizzati dalle agenzie statali italiane, è stata citata anche la presenza tra i programmi in dotazione del software di gestione dei file compressi 7zip. Un open source di origine russa che in questi periodi di guerra cibernetica tra Putin e l’Ucraina può destare preoccupazioni per i suoi potenziali rischi di sfruttamento delle vulnerabilità per sferrare attacchi ad obiettivi soprattutto governativi.
La vulnerabilità è venuta fuori ed il software 7-Zip fino alla versione 21.07 su Windows permette l’escalation di privilegi e l’esecuzione di comandi quando un file con estensione .7z viene trascinato nell’area Aiuto>Contenuti.
Lo zero-day incluso nel software 7-zip si basa su una configurazione errata di 7z.dll e un heap overflow. Dopo l’installazione del software 7-zip, il file di aiuto nel contenuto HELP > contents funziona attraverso il file Windows HTML Helper, ma dopo l’iniezione del comando, un processo figlio è apparso sotto il processo 7zFM.exe, che si vede dopo l’iniezione di comando, che è abbastanza interessante, dopo questa situazione, 7-zip con WinAFL Il processo di fuzzing è stato effettuato.
Grazie alla vulnerabilità di overflow e all’autorizzazione errata basata sull’heap, si è notato che quando la tecnica di iniezione di processo è stata applicata (in memoria) utilizzando i poteri del file 7z.dll e il prompt dei comandi è stato chiamato di nuovo, è stato autorizzato su cmd.exe con il modo amministratore. Nel payload sviluppato dopo questo processo, il file psexec.exe è stato utilizzato come raw;
Il privilegio NT AUTHORITY\SYSTEM è stato accesso grazie al comando “psexec -s cmd.exe -nobanner”.
In questa fase, 7-zip ha dichiarato che la vulnerabilità è stata causata da hh.exe, ma è stato detto loro che se c’è stata un’iniezione di comandi da hh.exe, un processo figlio dovrebbe essere creato sotto hh.exe, quindi soprattutto il lato heap-overflow di questa vulnerabilità non sarà condiviso con la comunità.
