21.07 버전의 7-Zip 파일 압축기에 심각한 보안 취약점이 있습니다. 7-Zip은 7z, ZIP, GZIP, BZIP2, TAR 등 다양한 형식을 지원하며 파일을 압축하고 패키징하기 위한 가장 수요가 많은 도구 중 하나입니다.
CVE-2022-29072로 추적되는 이 취약점은 .7z 확장자를 가진 파일이 도움말 > 콘텐츠 영역으로 이동할 때 적들이 권한 상승 및 명령 실행 권한을 갖도록 합니다.
CVE-2022-29072 탐지
아래의 Sigma 규칙을 사용하여 경험 많은 SOC Prime 팀 이 개발한 CVE-2022-29072 익스플로잇 시도를 적시에 추적하십시오:
가능한 7-Zip CVE-2022-29072 익스플로잇 (프로세스 생성 경유)
이 탐지는 22개의 SIEM, EDR 및 XDR 플랫폼에서 사용 가능합니다.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 조정되었으며, 권한 상승을 위한 익스플로잇(T1068)을 주요 기술로 사용하는 권한 상승 전술을 해결합니다.
전문적으로 위협을 사냥하고 있으신가요? 다른 SOC 전문가들과 지식을 공유하고, 25개 이상의 지원되는 SIEM, EDR 및 XDR 기술에서 위협을 사냥하며 SOC Prime의 광범위한 규칙 라이브러리에 여러분의 탐지 콘텐츠를 표시하세요.
CVE-2022-29072 분석 및 완화
아마도 가장 널리 사용되는 파일 압축 도구의 권한 상승 취약점이 위협 행위자에게 문을 활짝 엽니다. 이 제로데이는 CVE-2022-29072 로 불리며 7z.dll의 잘못된 구성과 힙 오버플로우에서 비롯됩니다. 현재 결함이 있는 Windows 버전 21.07은 .7z 확장자 파일이 도움말 > 콘텐츠 영역에 배치될 때 해커에게 허가되지 않은 시스템 액세스를 제공합니다. 이 명령은 7zFM.exe 프로세스 아래에 자식 프로세스를 생성합니다.
이 취약점은 2022년 4월 12일 이후로 악용되어 왔으며, 현재 이 버그를 수정할 수 있는 패치는 없습니다. 밝은 쪽은, 이 문제를 해결하기 위해 7-Zip 설치 디렉토리에서 7-zip.chm 파일을 삭제하는 것만으로 충분하다는 것입니다. 이 간단한 절차 후, 사이버 범죄자들은 더 이상 CVE-2022-29072 결함을 이용할 수 없습니다.
새로운 위협은 즉시 조치를 요구합니다. SOC Prime 은(는) 더 확장 가능한 솔루션을 통해 방어 역량을 강화하는 데 도움을 줍니다. SOC Prime의 Detection as Code 플랫폼에 등록하여 빠르게 변화하는 보안 환경에서 위협 탐지 및 위협 사냥 역량을 강화하고 보안 운영을 간소화하세요.
