7-Zip hat eine Sicherheitslücke
von caschy | 23 Kommentare
Der Packer 7-Zip ist seit vielen Jahren eine Software-Empfehlung von uns. 7-Zip ist eine freie Software mit offenem Quellcode. Ihr solltet schauen, dass ihr da bald mit der aktuellen Version unterwegs seid, denn 7-Zip bis zur momentan aktuellen Version 21.07 unter Windows ermöglicht die Ausweitung von Rechten und die Ausführung von Befehlen, wenn eine Datei mit der Erweiterung .7z in den Bereich Hilfe>Inhalt gezogen wird. Die in der 7-Zip-Software enthaltene Zero-Day-Schwachstelle basiert auf einer Fehlkonfiguration der 7z.dll und einem Heap-Überlauf. Ein Nutzer mit Zugriff auf einen Rechner mit 7-Zip kann also Systemrechte erhalten. Das Ganze wird auch hier im Video einmal vorgeführt:
Abhilfen bis zum Update?
Erste Methode: Wenn 7-Zip nicht aktualisiert wird, reicht es aus, die Datei 7-zip.chm zu löschen, um die Sicherheitslücke zu schließen.
Zweite Methode: Das Programm 7-Zip sollte nur Lese- und Ausführungsrechte haben. (Für alle Benutzer)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
hm. Gerade festgestellt, ich habe Versin 16.04
…
😀
„Zweite Methode: Das Programm 7-Zip sollte nur Lese- und Ausführungsrechte haben. (Für alle Benutzer)“
Eigentlich muss das die 7-zip.chm Datei sein, ne?
Weiss nicht ob die Meldung generell ein verspäteter Aprilscherz/Kettenbrief ist, da meine W10 Installation für die Hilfedatei, wie es sich gehört, natürlich nur Lesen/Ausführen kann. Vielleicht sind nur mobile Versionen von 7-zip vom Rechteproblem betroffen?
Die Meldung ist kein Aprilscherz. Die Rechte der chm sind nicht wichtig, nur die der 7-Zip Exe bzw. der hh.exe.
@Jannik „kein Aprilscherz“
Nicht vom Datum, hab extra noch mal bei Twitter nachgeschaut.
Nur haben 7z.exe, 7zFM.exe, 7-zip.chm, unter den Eigenschaften – Reiter Sicherheit – Benutzer allesamt nur Lesen/Ausführen angehakt. Sowas wie „Alle Nutzer“ gibt es in „Benutzer, Gruppen oder Integrierte Sicherheitsprinzipale“ überhaupt nicht. Aktuelles W10 Pro 21H2.
Also wird entweder halbgarer Kram verbreitet (mal wieder), oder es ist eine Verarschung von Nutzern bzw. Igor Pawlow – zumal der ausgenutzte Fehler in der HH.exe von Microsoft nie behoben wurde, man hat CHM eingestampft.
Ich habe stattdessen einen alternativen Help Viewer kchmviewer von Sourceforge installiert und den zum Standardhandler gemacht.
Ich konnte die Sicherheitslücke auch nicht nachvollziehen. Wenn ich die Datei in das chm Fenster reinziehe wird die CLI mit Benutzerrechten geöffnet.
Bei reddit heisst es, dass man UAC deaktivieren muss, damit der Trick funktioniert. Dazu ist es ein Problem von Microsoft und dem alten Hilfesystem, wo immer es noch in Anwendungen verbaut ist.
Wird 7zip noch nicht sanktioniert wie der Rest?
Warum sollte? (7-Zip is free software with open source.)
Weil ein Russe die Entwicklung vorantreibt.
Dennoch open source.
Weil es noch keine Sanktionen nur aufgrund der russischen Staatsbürgerschaft gegen irgendjemanden oder irgendwas gibt. Ich weiß, dass es Leute gibt, die sogar russische Restaurants boykottieren oder auch ukrainische Restaurants, deren Namen sie für russisch halten… bist du so einer?
Sippenhaft haben wir hier eigentlich abgeschafft, damals 1945.
Nein ich sanktioniere niemanden, im Gegenteil, ich finde diese Sanktionen schaden mehr als die nutzen.
Mein Kommentar war ironisch gemeint, weil Kaspersky jetzt auch „böse“ ist und vor der Software gewarnt wird. Obwohl keine Beweise vorliegen.
Die Geschichte mit Kaspersky ist weder eine Sanktions noch Beykottempfehlung. Sondern eine Sicherheitswarnung, da der russische Staat, theoretisch, Kaspersky dazu zwingen könnte ungewünschten Code einzuschleusen.
Ich sag das mal ganz wertefrei ob die Warnung angebracht ist oder nicht. Für mich gibt es aber sowieso keinen Grund eine „extra“ Softwarelösung zu kaufen und zu installieren, obwohl MS eine bessere bereits mitliefert.
Evtl doch keine so brisante Nachricht? Auf reddit/sysadmin wird erstmal dazu geraten die Füße still zu halten.
„This is either a social experiment, a troll, or a Jonathan-Scott-style „any publicity is is good publicity“ stunt.
Whatever the reason, spending any time thinking about it is not in your best interest.“
Q: https://twitter.com/wdormann/status/1516143910694928398
Q2: https://www.reddit.com/r/sysadmin/comments/u6jho1/cve202229072_7zip_privilege_escalation/
Naja die Lücke ist halt vglw. nutzlos. Wie oft schiebst du schon ein manipuliertes Archiv in deine durch 7-zip gestartete Hilfedatei?
Jannik – das macht dann doch eher jemand, der an irgendeinem Rechner mit 7-zip sitzt und (noch) keine Admin-Rechte hat.
Wenn du das machst wird deine icq Blume blau!
Das ist eine möglicher Angriff? Ein Angreifer kann (wenn das alles hier stimmt) 7-Zip nutzen, um Administrator Rechte zu bekommen
Hier mal ein Beispiel dass diese „Lücke“ in jeder Help File ist.
https://twitter.com/wdormann/status/1516217431437500419?t=TD1s-tKbQC4qUJkQ6H5VGQ
CVE Status ist: Disputed
NOTE: multiple third parties have reported that no privilege escalation can occur.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29072
Aus dem Reddit Thread weiter oben:
„This heap overflow might be code execution, yes, but calling running psexec -s privilege escalation is just stupid“
Die 21.07 ist doch die aktuelle Version, eine andere habe ich nicht gefunden.
Somit ist zur Zeit kein Update möglich.
https://www.7-zip.de/
Funktional ist 7ZIP ein tolles Programm.
Aber es ist in den letzten Jahren oft durch Sicherheitslücken aufgefallen, die in fremden Bibliotheken steckten.
Da ist es um so verwunderlicher, dass der russische Entwickler sich gegen eine Auto-Update-Funktion sträubt.
Für mich und meine Kunden bin ich schon lange zu TC4Shell gewechselt.
TV4Shell integriert sich in den Explorer. Kein extra UI erforderlich.
https://www.tc4shell.com/
Und dieses (kostenpflichtige!) Programm nutzt diese „fremden Bibliotheken“ nicht?
Also nach allem was man online findet nutzt TC4Shell die 7z.dll und unrar.dll, also doch genau diese „fremden“ libs. Dazu hat 7zip in den letzten 4 Jahren *keine* bekannte (CVE-zugewiesene) Sicherheitslücke gehabt, davor auch nur recht wenige, in 15 Jahren genau 2 kritische Lücken.
Ob TC4Shell da besser ist oder ob da einfach weniger veröffentlicht ist eine andere Frage.
Nichts gegen die Entwickler von TC4Shell, diese beteiligen sich auch an der Entwicklung von 7zip, aber trotzdem sehe ich die Begründung mit Sicherheit als sehr schwach an.
Also ich habe die selbe Version wie im Video gezeigt, mit dem Unterschied (x64).
Dort passiert das gezeigte nicht. Beim Droppen erscheint ein Dialog, ob die Datei geöffnet ist gespeichert werden soll. Beim Öffnen wird der Inhalt der Zip angezeigt, beim Speichern gespeichert…