CVE-2022-29072 Erkennung: Schwachstelle in 7-Zip gewährt Hackern übermäßige Berechtigungen

Die 7-Zip-Dateikomprimierungsversionen von 21.07 haben eine ernsthafte Sicherheitslücke. 7-Zip ist eines der gefragtesten Tools zum Komprimieren und Paketieren von Dateien mit einer Vielzahl unterstützter Formate, darunter 7z, ZIP, GZIP, BZIP2 und TAR.

Die als CVE-2022-29072 verfolgte Schwachstelle gewährt Angreifern erhöhten Zugriff und Befehlsausführung, wenn eine Datei mit der Erweiterung .7z in den Bereich Hilfe > Inhalt verschoben wird.

Erkennung von CVE-2022-29072

Verwenden Sie die Sigma Regel, die von den erfahrenen Experten des SOC Prime Team entwickelt wurde, um rechtzeitig Versuche der CVE-2022-29072 Ausnutzung zu verfolgen:

Mögliche 7-Zip CVE-2022-29072 Ausnutzung (via process_creation)

Diese Erkennung ist für 22 SIEM-, EDR- und XDR-Plattformen verfügbar.

Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt, das die Taktik der Privilegieneskalation mit Exploitation for Privilege Escalation (T1068) als primäre Technik anspricht.

Professionell jagen? Teilen Sie Ihr Wissen mit anderen SOC-Experten, jagen Sie Bedrohungen innerhalb von 25+ unterstützten SIEM-, EDR- und XDR-Technologien und sehen Sie Ihren Erkennungsinhalt in der umfangreichen Bibliothek von SOC Prime an Regeln angezeigt.

Erkennnungen ansehen Threat Bounty beitreten

CVE-2022-29072 Analyse & Minderung

Eine Privilegieneskalations-Schwachstelle im wahrscheinlich am häufigsten genutzten Dateikomprimierungstool öffnet Bedrohungsakteuren Tür und Tor. Der als CVE-2022-29072 bekannte Zero-Day resultiert aus einer Fehlkonfiguration von 7z.dll und Heap-Überlauf. Die fehlerhafte aktuelle Windows-Version 21.07 gewährt Hackern unerlaubten Zugriff auf kompromittierte Systeme, wenn eine Datei mit der .7z-Erweiterung im Bereich Hilfe > Inhalt platziert wird. Der Befehl erzeugt einen Kindprozess unter dem 7zFM.exe-Prozess.

Die Schwachstelle wird seit dem 12. April 2022 ausgenutzt, und derzeit gibt es keine Patches, um den Fehler zu beheben. Positiv ist, dass es ausreicht, die Datei 7-zip.chm im 7-Zip-Installationsverzeichnis zu löschen, um dieses Problem zu beheben. Nach diesem einfachen Verfahren können Cyberkriminelle die CVE-2022-29072-Schwachstelle nicht mehr ausnutzen.

Neue Gefahren rufen nach sofortigem Handeln. SOC Prime hilft Ihnen, Ihre Abwehrfähigkeiten mit skalierbareren Lösungen zu verstärken. Registrieren Sie sich auf SOC Prime’s Detection as Code Plattform um Ihre Bedrohungserkennungs- und Bedrohungsjagdfähigkeiten zu verbessern und gleichzeitig Ihre Sicherheitsoperationen in schnelllebigen Sicherheitsumgebungen zu straffen.