Rilevamento CVE-2022-29072: Una vulnerabilità in 7-Zip concede permessi eccessivi agli hacker

Le versioni 21.07 dell’archiviatore di file 7-Zip hanno un serio punto debole di sicurezza. 7-Zip è uno degli strumenti più richiesti per comprimere e confezionare file con un’ampia gamma di formati supportati, inclusi 7z, ZIP, GZIP, BZIP2 e TAR.

La vulnerabilità tracciata come CVE-2022-29072 concede agli avversari accesso elevato ed esecuzione di comandi quando un file con estensione .7z viene spostato nell’area Guida > Contenuti.

Rileva CVE-2022-29072

Utilizza la Sigma regola seguente sviluppata dagli esperti esperti del SOC Prime Team per monitorare tempestivamente i tentativi di sfruttamento di CVE-2022-29072:

Possibile Sfruttamento di 7-Zip CVE-2022-29072 (via process_creation)

Questa rilevazione è disponibile per le piattaforme 22 SIEM, EDR & XDR.

La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica dell’Elevazione di Privilegi con lo Sfruttamento per l’Elevazione di Privilegi (T1068) come tecnica primaria.

Cacciando professionalmente? Condividi la tua conoscenza con altri esperti SOC, caccia le minacce all’interno delle oltre 25 tecnologie supportate SIEM, EDR e XDR, e vedi i tuoi contenuti di rilevamento visualizzati nella vasta libreria di regole di SOC Prime.

Visualizza le Rilevazioni Unisciti a Threat Bounty

Analisi & Mitigazione CVE-2022-29072

Una vulnerabilità di elevazione dei privilegi nel probabilmente più ampiamente utilizzato strumento di compressione file apre le porte a attori malintenzionati. Il giorno zero noto come CVE-2022-29072 sorge da una configurazione errata di 7z.dll e overflow dell’heap. La versione corrente di Windows 21.07 concede agli hacker accesso non autorizzato ai sistemi compromessi quando un file con estensione .7z viene posizionato nell’area Guida > Contenuti. Il comando genera un processo figlio sotto il processo 7zFM.exe.

La vulnerabilità è stata sfruttata dal 12 aprile 2022 e attualmente non sono disponibili patch per correggere il bug. Sul lato positivo, è sufficiente eliminare il file 7-zip.chm nella directory di installazione di 7-Zip per risolvere questo problema. Dopo questa semplice procedura, i cyber criminali non possono più sfruttare il difetto CVE-2022-29072.

Nuove minacce richiedono l’immediatezza dell’azione. SOC Prime ti aiuta ad aumentare le tue capacità di difesa con soluzioni più scalabili. Registrati sulla piattaforma Detection as Code di SOC Prime per potenziare le tue capacità di scoperta delle minacce e caccia delle minacce ottimizzando le tue operazioni di sicurezza in ambienti di sicurezza frenetici.