CVE-2022-29072 検出: 7-Zipの欠陥がハッカーに過剰な権限を許可

7-Zipファイルアーカイバーのバージョン21.07には深刻なセキュリティ弱点があります。7-Zipは、7z、ZIP、GZIP、BZIP2、TARなどの幅広いフォーマットに対応してファイルを圧縮およびパッケージ化するために高い需要があります。

CVE-2022-29072として追跡される脆弱性は、.7z拡張子を持つファイルが「ヘルプ > コンテンツ」領域に移動されたときに、攻撃者に高権限のアクセスとコマンド実行を許可します。

CVE-2022-29072を検出

Use the Sigma 以下のルールを使用してください。これは、経験豊富な SOC Primeチーム の専門家によって開発され、CVE-2022-29072エクスプロイトの試行を適時に追跡します：

7-Zip CVE-2022-29072エクスプロイトの可能性（プロセスの作成経由）

この検出は、22のSIEM、EDR、XDRプラットフォームで利用可能です。

このルールは、MITRE ATT&CK®フレームワークv.10に準拠しており、プライベートエスカレーション戦術でのエクスプロイト（T1068）を一次技術として扱っています。

プロフェッショナルなハンティングですか？ 他のSOCの専門家と知識を共有し、25以上のサポートされたSIEM、EDR、XDR技術で脅威を追跡し、SOC Primeの膨大なルールライブラリにあなたの検出コンテンツを表示させましょう。

検出を表示 脅威賞金に参加する

CVE-2022-29072の分析と緩和策

おそらく最も広く使用されているファイル圧縮ツールにおける特権昇格の脆弱性は、脅威のアクターに広く侵入する口実を与えます。ゼロデイとして知られる CVE-2022-29072 は、7z.dllの誤った設定とヒープオーバーフローから発生しています。Windows上の欠陥のあるバージョン21.07は、.7z拡張子を持つファイルが「ヘルプ > コンテンツ」領域に配置されたとき、ハッカーに侵害されたシステムへの不正アクセスを許可します。このコマンドは、7zFM.exeプロセスの下に子プロセスを生成します。

この脆弱性は2022年4月12日から悪用されており、現在このバグを修正するパッチはありません。幸いにも、この問題を解決するためには7-Zipのインストールディレクトリにある7-zip.chmファイルを削除するだけで十分です。この簡単な手順の後、サイバー犯罪者はもはやCVE-2022-29072の欠陥を利用できません。

新たな脅威が即座の行動を求めています。 SOC Prime は、よりスケーラブルなソリューションであなたの防御力を強化するのに役立ちます。SOC Primeの 検出としてのコードプラットフォーム に登録して、速いペースのセキュリティ環境での脅威発見と脅威ハンティングの能力を高めつつ、セキュリティ運用を効率化しましょう。