Un exploit critique Zero Day de 7-Zip aurait été divulgué par un pirate informatique opérant sous le pseudonyme « NSA_Employee39 » sur X, qui permet aux attaquants d’exécuter du code arbitraire sur la machine d’une victime lorsqu’il est ouvert ou extrait avec la dernière version de 7-Zip.
Cette divulgation pose des risques de cybersécurité importants, en particulier dans le contexte de la prolifération des logiciels malveillants Infostealer et des vecteurs d’attaque potentiels de la chaîne d’approvisionnement.
Cyber Security News a récemment signalé une grave vulnérabilité de sécurité, CVE-2024-11477, qui a été découvert dans 7-Zip, l’utilitaire de compression de fichiers populaire, permettant à des attaquants distants d’exécuter du code malveillant via des archives spécialement conçues.
Enquêtez sur les liens malveillants, les logiciels malveillants et les attaques de phishing du monde réel avec ANY.RUN – Essayez gratuitement
La vulnérabilité : exploitation du décodeur LZMA de 7-Zip
Le jour zéro divulgué cible le décodeur LZMA dans 7-Zip. Plus précisément, il exploite un flux LZMA mal formé pour déclencher un débordement de tampon dans le RC_NORM fonction.
Cet exploit sophistiqué manipule les pointeurs de tampon et l’alignement de la charge utile pour exécuter du code arbitraire sur le système de la victime.
Pour les utilisateurs, cela signifie qu’un simple fait d’ouvrir ou d’extraire un fichier .7z malveillant à l’aide de l’application 7-Zip pourrait compromettre le système, permettant aux attaquants d’exécuter un shellcode malveillant sans nécessiter aucune interaction supplémentaire de l’utilisateur.
Pour démontrer l’exploit, « NSA_Employee39 » a partagé une capture d’écran via Pastebin, montrant du code qui exécute une charge utile inoffensive, en lançant l’application Windows Calculator (calc.exe). Cependant, ce code peut facilement être remplacé par des charges utiles plus dangereuses, amplifiant considérablement la menace.
Une nouvelle voie pour les logiciels malveillants Infostealer
Cet exploit est particulièrement préoccupant dans le contexte des attaques de logiciels malveillants Infostealer. Ces programmes malveillants sont conçus pour extraire discrètement des informations sensibles, telles que les identifiants de connexion, les coordonnées bancaires et les données personnelles, des systèmes infectés.
Les voleurs d’informations s’appuient souvent sur des tactiques d’ingénierie sociale pour se propager, généralement en utilisant des fichiers .rar ou .zip protégés par mot de passe pour contourner les analyses antivirus. Cependant, le Zero-Day 7-Zip élimine le besoin de protection par mot de passe ou de méthodes complexes.
En ouvrant simplement un fichier .7z compromis, les utilisateurs pourraient sans le savoir exécuter du code malveillant, offrant ainsi aux attaquants un vecteur d’infection transparent.
Le potentiel de cette vulnérabilité s’étend bien au-delà des utilisateurs individuels. De nombreuses organisations, en particulier dans les opérations de chaîne d’approvisionnement, automatisent les flux de travail qui impliquent l’extraction de fichiers reçus de sources externes.
En militarisant les fichiers .7z, les attaquants pourraient infiltrer ces processus automatisés, intégrant des charges utiles malveillantes qui s’exécutent inaperçues dans les systèmes de l’entreprise.
Un tel scénario présente des risques importants, notamment des violations de données, la propagation de ransomwares et une perturbation opérationnelle généralisée.
Bien que l’exploitation de cette vulnérabilité soit conceptuellement simple, elle nécessite un haut degré d’expertise technique. Par exemple, les attaquants doivent créer un shellcode capable de fonctionner dans un espace limité de seulement 100 à 200 octets.
Malgré cette limitation, les experts en cybersécurité préviennent que des adversaires expérimentés pourraient facilement surmonter ces défis, faisant de cette exploitation un danger évident et présent.
La sortie de ce Zero-Day 7-Zip soulève des préoccupations plus larges concernant les vulnérabilités logicielles et le processus de divulgation responsable.
Contrairement aux vulnérabilités signalées par les canaux officiels, qui laissent aux développeurs le temps de les corriger, les divulgations publiques sans avertissement donnent aux attaquants une opportunité immédiate d’exploiter les systèmes non protégés.
Pour aggraver les inquiétudes, « NSA_Employee39 » a fait allusion à la sortie imminente d’un autre Zero Day ciblant MyBB, un logiciel de forum open source. Si cela était révélé, cela pourrait conduire à des violations massives et exposer les bases de données sensibles d’innombrables communautés en ligne.
Que doivent faire les utilisateurs et les organisations ?
Bien qu’un correctif officiel pour la vulnérabilité 7-Zip n’ait pas encore été publié, les experts en cybersécurité recommandent de prendre des mesures immédiates pour minimiser les risques. Les étapes clés comprennent :
- Surveiller les mises à jour : Les utilisateurs et les organisations doivent suivre de près les mises à jour des développeurs de 7-Zip et appliquer les correctifs dès leur publication.
- Mettre en œuvre des stratégies d’atténuation : Les organisations doivent adopter des mécanismes de sandboxing et d’analyse des fichiers pour examiner les fichiers tiers avant de les traiter.
- Sensibiliser : Organisez une formation pour informer les utilisateurs sur les risques liés à l’ouverture de fichiers d’archives non sollicités ou suspects.
- Collaboration communautaire : Les professionnels et les chercheurs en cybersécurité doivent collaborer pour analyser et contrecarrer les menaces émergentes posées par cet exploit et d’autres.
Pour les défenseurs, cela souligne la nécessité urgente de renforcer les défenses et de maintenir leur vigilance face à des menaces en évolution rapide.
La communauté de la cybersécurité attend désormais de nouveaux développements, notamment un correctif potentiel des développeurs de 7-Zip et la divulgation promise du Zero Day de MyBB.
En attendant, les organisations et les individus doivent rester vigilants, car cet exploit démontre les risques considérables qui pèsent sur les chaînes d’approvisionnement, les systèmes critiques et les utilisateurs du monde entier.
Mise à jour:
Igor Pavlov, le créateur de 7-Zip, a rejeté les allégations contenues dans la section des bogues du forum de discussion 7-Zip, déclarant : « Ce rapport sur Twitter est faux. Je ne comprends pas pourquoi cet utilisateur de Twitter a fait une telle affirmation. Il n’y a pas de vulnérabilité ACE dans 7-Zip / LZMA.
Le compte @NSA_Employee39 n’a pas fourni de réponse immédiate aux demandes de commentaires sur les réseaux sociaux.
Mise à jour à 16 h HNE :
Le compte @NSA_Employee39 a partagé une mise à jour sur Pastebin : « Cette vulnérabilité résulte d’une validation inadéquate de la structure du flux LZMA qui permet à une entrée mal formée de déclencher le débordement et d’exécuter du code arbitraire. N’oubliez pas qu’il s’agit d’une PREUVE DE CONCEPT.
Mise à jour à 18 h HNE :
Igor Pavlov a démenti la déclaration partagée par le compte X ; il a déclaré qu ‘«il n’y a pas de fonction RC_NORM dans le décodeur LZMA. Au lieu de cela, 7-Zip contient la macro RC_NORM dans l’encodeur LZMA et le décodeur PPMD. Ainsi, le code de décodage LZMA n’appelle pas RC_NORM. Et la déclaration concernant RC_NORM dans le commentaire sur l’exploit n’est pas vraie.
Enquêtez sur les liens malveillants, les logiciels malveillants et les attaques de phishing du monde réel avec ANY.RUN – Essayez gratuitement
