Categorie
Sicurezza Informatica

Governo trema con l’open source: 7zip e lo ZeroDay che permette di prendere controllo dei pc

Nell’articolo dove si denunciava la presenza di software obsoleti, sia front che backend, utilizzati dalle agenzie statali italiane, è stata citata anche la presenza tra i programmi in dotazione del software di gestione dei file compressi 7zip. Un open source di origine russa che in questi periodi di guerra cibernetica tra Putin e l’Ucraina può destare preoccupazioni per i suoi potenziali rischi di sfruttamento delle vulnerabilità per sferrare attacchi ad obiettivi soprattutto governativi.

La vulnerabilità è venuta fuori ed il software 7-Zip fino alla versione 21.07 su Windows permette l’escalation di privilegi e l’esecuzione di comandi quando un file con estensione .7z viene trascinato nell’area Aiuto>Contenuti.

https://www.matricedigitale.it/wp-content/uploads/2022/04/163654035-d40ca72a-7dbc-425f-ade2-3820cfababb2.mp4

Lo zero-day incluso nel software 7-zip si basa su una configurazione errata di 7z.dll e un heap overflow. Dopo l’installazione del software 7-zip, il file di aiuto nel contenuto HELP > contents funziona attraverso il file Windows HTML Helper, ma dopo l’iniezione del comando, un processo figlio è apparso sotto il processo 7zFM.exe, che si vede dopo l’iniezione di comando, che è abbastanza interessante, dopo questa situazione, 7-zip con WinAFL Il processo di fuzzing è stato effettuato.

Grazie alla vulnerabilità di overflow e all’autorizzazione errata basata sull’heap, si è notato che quando la tecnica di iniezione di processo è stata applicata (in memoria) utilizzando i poteri del file 7z.dll e il prompt dei comandi è stato chiamato di nuovo, è stato autorizzato su cmd.exe con il modo amministratore. Nel payload sviluppato dopo questo processo, il file psexec.exe è stato utilizzato come raw;

Il privilegio NT AUTHORITY\SYSTEM è stato accesso grazie al comando “psexec -s cmd.exe -nobanner”.

In questa fase, 7-zip ha dichiarato che la vulnerabilità è stata causata da hh.exe, ma è stato detto loro che se c’è stata un’iniezione di comandi da hh.exe, un processo figlio dovrebbe essere creato sotto hh.exe, quindi soprattutto il lato heap-overflow di questa vulnerabilità non sarà condiviso con la comunità.

fonte: https://github.com/kagancapar/CVE-2022-29072

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version