CVE-2022-29072 Détection : Flaw dans 7-Zip Accorde aux Hackers des Permissions Excessives

Les versions 21.07 de l’archiviste de fichiers 7-Zip présentent un point faible de sécurité sérieux. 7-Zip est l’un des outils les plus demandés pour compresser et emballer des fichiers avec un large éventail de formats pris en charge, y compris 7z, ZIP, GZIP, BZIP2 et TAR.

La vulnérabilité suivie sous l’identifiant CVE-2022-29072 permet aux adversaires d’obtenir un accès accru et d’exécuter des commandes lorsque qu’un fichier avec l’extension .7z est déplacé dans la zone Aide > Contenu.

Détecter CVE-2022-29072

Utilisez la Sigma règle ci-dessous développée par les experts aguerris de l’équipe SOC Prime pour suivre en temps utile les tentatives d’exploitation de CVE-2022-29072 :

Exploitation possible de 7-Zip CVE-2022-29072 (via process_creation)

Cette détection est disponible pour les plateformes 22 SIEM, EDR & XDR.

La règle est alignée avec la dernière version du cadre MITRE ATT&CK® v.10, traitant de la tactique d’escalade de privilèges avec L’exploitation pour l’Escalade de Privilèges (T1068) comme technique principale.

Chassez-vous professionnellement ? Partagez vos connaissances avec d’autres experts SOC, chassez les menaces parmi plus de 25 technologies SIEM, EDR et XDR prises en charge, et voyez votre contenu de détection affiché dans la vaste bibliothèque de règles de SOC Prime.

Voir les Détections Rejoignez Threat Bounty

Analyse et Mitigation de CVE-2022-29072

Une vulnérabilité d’escalade de privilèges dans probablement l’outil de compression de fichiers le plus largement utilisé ouvre grand les portes aux acteurs malveillants. Le jour zéro désigné comme CVE-2022-29072 provient d’une mauvaise configuration de 7z.dll et d’un débordement de mémoire. La version actuelle défectueuse de Windows 21.07 permet aux pirates d’accéder sans autorisation aux systèmes compromis lorsqu’un fichier avec l’extension .7z est placé dans la zone Aide > Contenu. La commande engendre un processus enfant sous le processus 7zFM.exe.

La vulnérabilité a été exploitée depuis le 12 avril 2022, et actuellement, il n’y a aucun correctif disponible pour résoudre le bogue. Le bon côté des choses, c’est qu’il suffit de supprimer le fichier 7-zip.chm dans le répertoire d’installation de 7-Zip pour remédier à ce problème. Après cette simple procédure, les cybercriminels ne peuvent plus exploiter la faille CVE-2022-29072.

De nouvelles menaces appellent à l’immédiateté de l’action. SOC Prime vous aide à renforcer vos capacités de défense avec des solutions plus évolutives. Inscrivez-vous sur la plateforme Detection as Code de SOC Prime pour améliorer vos capacités de découverte et de chasse aux menaces tout en rationalisant vos opérations de sécurité dans des environnements de sécurité rapides.