Une faille de sécurité zero-day a été découverte dans 7-Zip 21.07 et elle permettrait à un attaquant d’effectuer une élévation de privilèges et d’exécuter du code arbitraire sur la machine locale. Faisons le point.
Pour rappel, 7-Zip est un logiciel de gestion d’archives très populaire que l’on retrouve sur de nombreux ordinateurs, et qui permet de manipuler des archives ZIP, mais aussi GZIP, TAR ou encore 7z. Depuis le 26 décembre 2021, 7-Zip 21.07 pour Windows est disponible et il s’agit de la version la plus récente disponible à ce jour. C’est aussi cette version qui est concernée par la faille de sécurité associée à la référence CVE-2022-29072.
Dans la pratique, cette vulnérabilité permet à un attaquant d’élever ses privilèges et d’exécuter du code arbitraire sur la machine locale grâce à une invite de commande qui s’ouvre avec les droits « SYSTEM ». Comment ? Et bien, en prenant un fichier avec l’extension « .7z » et en le faisant glisser sur la section « Aide » > « Contenu » du menu de 7-Zip.
D’après l’analyse publiée sur le site de SOC Prime, cette faille zero-day est liée à une mauvaise configuration dans le fichier « 7z.dll ». Le fait de glisser le fichier 7z dans la zone « Contenu » de 7-Zip va générer un processus enfant « cmd.exe » sous le processus 7zFM.exe.
Comment se protéger de la vulnérabilité CVE-2022-29072 ?
La mauvaise nouvelle, c’est qu’il n’existe pas de correctifs pour le moment. Si vous utilisez 7-Zip en version 21.07, suivez de près la sortie d’une nouvelle version dans les prochains jours afin de la déployer sur vos machines.
En attendant, vous pouvez protéger vos machines en supprimant le fichier « 7-zip.chm » qui est stocké dans le répertoire d’installation de 7-Zip (par défaut « C:Program Files7-Zip« ). Pour remédier à ce problème. Suite à cette manipulation assez simple, l’aide ne sera plus disponible dans le logiciel, mais vos machines seront protégées contre la faille de sécurité CVE-2022-29072.
La vidéo ci-dessous montre que c’est très simple d’exploiter cette vulnérabilité.
The post La dernière version de 7-Zip affectée par une faille zero-day first appeared on IT-Connect.