「7-Zip」の脆弱性について解説する （CVE-2022-29072）

Transcript

1. 「7-Zip」の脆弱性について解説する （CVE-2022-29072） kuzushiki 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki

2. 自己紹介 kuzushiki セキュリティエンジニア（3年目） Webアプリケーションのセキュリティ関連のおしごと 最近のニュース 情報処理安全確保支援士の特定講習を先週受講した CSIRT強化トレーニング　テクニカル編（CTF形式） CTF 好きの方にオススメ 皆さんオススメの特定講習があれば知りたいです

   第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki 2 / 13

3. 発表内容 発表ネタを探していると、4/18 (月) に投稿された下記の記事が目に留まった。 解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ～セキュリティ研究者が明らかに - 窓の杜 https://forest.watch.impress.co.jp/docs/news/1403661.html 7-Zip

   はよく使っているソフトウェアだったため、調査・検証を行うことにした。 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki 3 / 13

4. 7-Zip ってなに？ 無料の圧縮・解凍ツール SourceForge.net での評価やDL数より、とても人気のあるソフトウェアであることがわかる。 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki HTTP://SOURCEFORGE.NET/PROJECTS/SEVENZIP/ から引用

   4 / 13

5. CVE-2022-29072 ってなに？ DISPUTED 7-Zip through 21.07 on Windows allows privilege

   escalation and command execution when a file with the .7z extension is dragged to the Help>Contents area. This is caused by misconfiguration of 7z.dll and a heap overflow. The command runs in a child process under the 7zFM.exe process. NOTE: multiple third parties have reported that no privilege escalation can occur. 要約すると下記のとおり 対象製品：Windows 版 7-Zip ~21.07（最新版） 実行手順： .7z のファイルを Help > Contents エリアにドラッグ 発生リスク：権限昇格やコマンドの実行 発生原因： 7z.dll の設定ミスとヒープオーバーフロー 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki HTTPS://CVE.MITRE.ORG/CGI-BIN/CVENAME.CGI?NAME=CVE-2022-29072 より引用 ` ` ` ` 5 / 13

6. 検証してみよう 脆弱性報告者の Kağan Çapar 氏から PoC らしきものが提供されている。 https://www.youtube.com/watch?v=sT1cvbu7ZTA https://github.com/kagancapar/CVE-2022-29072 7-Zip

   は下記リンクから最新版をダウンロード https://www.7-zip.org/a/7z2107-x64.exe 検証のため Windows は仮想マシンで実行 https://developer.microsoft.com/ja-jp/windows/downloads/virtual-machines/ 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki 6 / 13

7. 検証内容 以下の項目を確認 １． .7z ファイルをヘルプファイルにドラッグしてコマンドが実行できるか ２． 権限昇格ができるか 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki

   ` ` 7 / 13

8. 検証結果 １． .7z ファイルをヘルプファイルにドラッグしてコマンドが実行できるか 実行できることを確認した 実体は HTML であり、 ActiveXObject 経由でコマンドを実行していた

   ただし ActiveX を実行できるように設定変更が必要 悪用する際にヘルプファイルにドラッグさせるのは難しそう ２． 権限昇格ができるか そもそも PoC が用意されていなかったため確認できず 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki ` ` ` ` ` ` ` ` 8 / 13

9. 検証後に出てきた疑問点 疑問点１ CHM ファイル（Microsoft Compiled HTML Help）はそもそも HTML を用いて記述されるもの HTML

   ファイルをドラッグすると開かれるのは正常な動作では？ 少なくとも 7-Zip の脆弱性ではない 疑問点２ なぜ権限昇格の PoC を秘密にするのか？ -> 個人的にはデマの可能性が高いと考えている 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki ` ` ` ` ` ` 9 / 13

10. CVE の DISPUTED について Q. CVE Recordが DISPUTED とマークされているのはどういう意味ですか？ A.

    ある当事者が、特定の問題を脆弱性であるとする他の当事者の主張に同意しない場合、その問題に割り当てられた CVE Record は 「DISPUTED」（異説あり）と指定されます。 このような場合、CVE プログラムはどちらの当事者が正しいかについての判断は行いません。 その代わり、この論争を記録し、問題の事実を理解しようとする人々により良い情報を提供するために、公的な参考文献を提 供するようにします。 DISPUTED となった CVE Record を見かけたら、その問題を参照するか、影響を受けるベンダーまたは開発者に連絡して、より 多くの情報を得ることをお勧めします。 -> 一言でまとめると、「正しいかどうかは参考文献を見て各自で判断してね」、ということ 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki HTTPS://WWW.CVE.ORG/RESOURCESSUPPORT/FAQS より抜粋して要約 10 / 13

11. 7-Zip 開発者の見解 SourceForge.net のプライベートチャットにて脆弱性についてのやりとりがあった。 開発者：「ソフトウェアの開発者から脆弱性の可能性に関する完全な情報を隠すことは良い習慣だと思いますか?」 報告者：「そういう商売なので、脆弱性の詳細を明らかにするつもりはない。」 上記のやりとりのあと、開発者は議論の価値がないと判断し内容を公開した。 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki

    HTTPS://SOURCEFORGE.NET/P/SEVENZIP/BUGS/2337/?PAGE=2 から抜粋して和訳 11 / 13

12. 有識者の見解 下記は Google のセキュリティリサーチャーの Tavis Ormandy 氏の発言 本 CVE は取り下げられると確信していることがわかる。

    第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki Tavis Ormandy @taviso Replying to @taviso @tony_bridges_el and @MalwareJake I asked them, but their explanation doesn't make much sense. I think I'm confident this CVE is going to be withdrawn. Kağan @kagancapar Replying to @taviso @jonasLyk and @MeAsHacker_HNA No, there is a heap overflow here. Let me explain here that the command execution process takes place over the CHM file after a buffer overflow. The mistake 7-zip made here is that it calls the small process that occurs after calling the API ++ 12 / 13

13. 終わりに 「7-Zip」の脆弱性（CVE-2022-29072）について解説した。 「CVE番号が割り当てられた」 ≠ 「脆弱性として認められた」 DISPUTED と記載されているものについては、不用意に拡散しないようにしましょう。 ただし 100% デマだとは言い切れないので、不安な方は

    7-zip.chm を削除するか、7-Zip の代わりに他の解凍・圧縮ソフト を使いましょう。 第１８回 初心者のためのセキュリティ勉強会 kuzu7shiki ` ` 13 / 13