Комментарии 41
Они же изначально настаивали, что уязвимость относится к работе процесса Microsoft HTML HelperЕсли бы это была уязвимость HH, то дочерний процесс бы имел родителем HH.
И я так понимаю, что ещё и должна быть возможность писать в папку 7-zip. То есть, только администратор может таким образом повысить свои права до системы. Но если у злоумышленника есть права администратора, то уже пофиг — система скомпрометирована.
7-zip может быть установлен в произвольную папку (не так уж редко бывает, что утилиты ставятся не в папку Program files и/или не на диск C:), в которой у пользователя может быть больше прав.
Если юзер не администратор, то он сможет установить софт только в свою папку AppData, к которой он имеет доступ, а не в C:\Program Files, разве не так?
Не хочу вам грубить, поэтому прошу отнестись с долей юмора к пикрилу.
Картинка смешная, ситуация - страшная.
Если бы это была уязвимость HH, то дочерний процесс бы имел родителем HH.
HH это не только исполняемый файл, но и динамическая библиотека. 7zFM дёргает оттуда функции. И вот в ней уже происходит XXE (как я понял, аналогично тому, что было с WinRAR; возможно, сам XXE происходит дальше, в mshtml).
См. скриншот.
Я не специалист во внутренностях Windows, поэтому буду благодарен, если найдется кто-то, кто опишет, как дальше происходит повышение (через недостаточный контроль привилегий в COM или еще как). Потому как то, что написано в README репозиторя на гитхабе - ну, оно такое...
А вы проверьте есть ли там процесс HH вообще. Сдаётся мне что они просто открывают внутренние терминал невидимый, а в нём вызывают hh процесс. А потом уже в этот процесс перетягивается заражённый файл
Хм, а откуда там вообще системные права? Какой механизм EOP вызывается? Ну и как по мне, mshtml такая дырища, что проще его отключить или выкусить из системы, чтобы прибить этот и многие другие возможные векторы атаки через прикладное ПО, чем маяться с вероятностью повышения привилегий из-за использования встроенной справки не полностью корректным (ц) образом. Хотя баг сам по себе стоит того, чтобы его пофиксить — переполнение буфера само по себе приглашение к реализации RCE.
Вот интересно, пробовал ли автор эксплойта использовать hh напрямую, минуя 7zip, и через него ломануть систему?
Надо думать, имеется в виду не "приложение" вообще, а файл 7-zip.exe.
Разве 7zip работает с правами системы?
Зловредное приложение ещё нужно в систему доставить как-то и умудриться запустить.
Если у злоумышленника есть доступ к системе с правом на запись, то это не составит труда.
Проблема уязвимостей с повышением привилегий всегда лежит в том компоненте системы, где это повышение происходит.
Само по себе переполнение кучи в 7zFM - это не уязвимость, это баг. Надеюсь, CVE не примут.
А с hh.exe, в котором реализуется повышение за счет XXE, надо что-то делать.
а че, переполнение кучи разьве не вызовет наружение доступа? Может там все-таки в стеке переполнение?
И это типа ОС Винда виновата, получается? То есть вины софта/кода в 7z нету?
Я всегда думал, что изоляция не тока на уровне ядра ОС должна быть, но и со стороны аплика/софта на уровне кода. Не про песочницу речь, а про некоторые лучшие практики секьюра...
Если бы уязвимость позволяла получить те же права, с которыми работает 7z и в его процессе исполнить что угодно — да, это проблема 7z и они должны её исправлять.
Но если мы получили права SYSTEM, то это уже дыра в безопасности самой ОС, чинить её в прикладном ПО — это как заклеивать пластырем мелкие дырки в корабле, который уже затонул.
Да, так то яснее и понятнее стало. Логично и аргументировано вполне. Без претензий. )))
Хотя если запускать 7z с правами админа, то как бы это дает повышать права/привелегии уже за счет 7z...
То есть не надо давать админ прав для работы и ограничивать тока на чтение... Это как мнение сисадмина уже высказал. И это логично как бы всем. Но тем не менее, фулл права зло..
Это не даст права NT AUTHORITY\SYSTEM
Эм. Ну, получите вы из ограниченой записи админа — менее ограниченную, это понятно.
А дальше-то как? at
?
Прикольно. И я правильно понимаю, что описанный прием сработает только если исходный пользователь - уже администратор? Тогда это, как и предполагалось некоторыми участниками, никакая не уязвимость в 7zip. Расходимся.
P.S. Хотя хорошо бы это на форуме SourceForge написать.
А вот что происходит в 7z — тайна, покрытая мраком. Якобы 7z, запущенный от простого юзера, позволяет запустить cmd от системы. Но это тогда огромная дырень в самой Windows, 7z тут не виноват, можно же и свою прогу специально собрать с такой «особенностью».
Якобы 7z, запущенный от простого юзера, позволяет запустить cmd от системы.
Ни на форуме SourceForge, ни на github.com я не вижу, чтобы автор CVE это продемонстрировал или хотя бы подтвердил, хотя его и спрашивали. Exe-файл, как я понял, он никому не дает, даже автору 7zip.
чтобы автор CVE это продемонстрировал или хотя бы подтвердилТак в видео-ролике он ясно показывает, что текущий юзер не имеет прав локального админа (выполняя команду
net localgroup Administrators
). Если конечно ролик не фейк.В видео на страничке https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29072 я этой команды не вижу.
Ага, и откуда оно? Источник?
Thx.
Так в видео-ролике он ясно показывает, что текущий юзер не имеет прав локального админа (выполняя команду
net localgroup Administrators
).
Не, там только показано, что он не входит в группу локальных администраторов. А вот может ли он иметь нужные права, чтобы elevation сработало) не входя в эту группу, чтобы я понимал.
Однако… спасибо.
Это обман почти со 100% вероятностью. Зато шумиха то какия поднялась! Автор не очень адекватен, посмотрите на его ответы на sourceforge: https://sourceforge.net/p/sevenzip/bugs/2337. Там он прямо заявляет "продаю за деньги".
Heap overflow в чистом виде(без баги в OS) никак не может привести к повышению привелегий.
А права system он получает с помощью "psexec -s cmd.exe". Link: https://github.com/kagancapar/CVE-2022-29072
" I'm being honest with you. Actually, I'm trying to find another vulnerability on 7-zip software, and it's happening again with heap-overflow. If I tell you which file is in the source code and on which line, you will close the vulnerability. I am a hacker. I'm evaluating and I don't want to say because I make money from this business. I won and I'm just telling you how to turn it off from the interface. If there is no access to hh.exe from the interface, there is nowhere to trigger anyway. I don't intend to reveal the details of the vulnerability because that's the way I am selling it."
Исследователь рассказал об уязвимости в 7-Zip, позволяющей повысить привилегии до уровня SYSTEM в Windows 10