7-Zip の重要なゼロデイ エクスプロイトが、X 上でエイリアス「NSA_Employee39」で活動する個人であるハッカーによって漏洩したとされています。これにより、攻撃者は、最新バージョンの 7-Zip で開かれるか解凍されると、被害者のマシン上で任意のコードを実行することができます。 7ジップ。

この開示は、特に Infostealer マルウェアの蔓延と潜在的なサプライ チェーン攻撃ベクトルの観点から、重大なサイバーセキュリティ リスクを引き起こします。

サイバーセキュリティニュース 最近報告された 重大なセキュリティ脆弱性 CVE-2024-11477 人気のファイル圧縮ユーティリティである 7-Zip で発見され、リモート攻撃者が特別に作成されたアーカイブを通じて悪意のあるコードを実行できるようになります。

ANY.RUN を使用して、現実世界の悪意のあるリンク、マルウェア、フィッシング攻撃を調査します – 無料でお試しください

脆弱性: 7-Zip の LZMA デコーダの悪用

開示されたゼロデイは、7-Zip の LZMA デコーダをターゲットとしています。具体的には、不正な LZMA ストリームを利用して、バッファ オーバーフローを引き起こします。 RC_NORM 関数。

この高度なエクスプロイトは、バッファ ポインタとペイロードのアライメントを操作して、被害者のシステム上で任意のコードを実行します。

これはユーザーにとって、7-Zip アプリケーションを使用して悪意のある .7z ファイルを開いたり抽出したりするだけでシステムが侵害され、攻撃者が追加のユーザー操作を必要とせずに悪意のあるシェルコードを実行できる可能性があることを意味します。

このエクスプロイトをデモンストレーションするために、「NSA_Employee39」は Pastebin 経由でスクリーンショットを共有し、無害なペイロードを実行するコード (Windows 電卓アプリを起動する) を示しました。calc.exe）。ただし、このコードはより有害なペイロードに簡単に置き換えられ、脅威が大幅に増幅される可能性があります。

Infostealer マルウェアの新たな手段

このエクスプロイトは、Infostealer マルウェア攻撃の文脈において特に懸念されます。これらの悪意のあるプログラムは、感染したシステムからログイン資格情報、銀行口座の詳細、個人データなどの機密情報を静かに抽出するように設計されています。

情報窃盗犯は多くの場合、ソーシャル エンジニアリング戦術を利用して拡散します。通常は、パスワードで保護された .rar または .zip ファイルを使用してウイルス対策スキャンを回避します。ただし、7-Zip ゼロデイを使用すると、パスワード保護や複雑な方法が必要なくなります。

侵害された .7z ファイルを開くだけで、ユーザーは無意識のうちに悪意のあるコードを実行し、攻撃者にシームレスな感染ベクトルを提供する可能性があります。

この脆弱性の可能性は、個々のユーザーをはるかに超えて広がります。多くの組織、特にサプライ チェーンの運用では、外部ソースから受け取ったファイルの抽出を伴うワークフローを自動化しています。

.7z ファイルを兵器化することで、攻撃者はこれらの自動プロセスに侵入し、企業システム内で気付かれずに実行される悪意のあるペイロードを埋め込む可能性があります。

このようなシナリオは、データ侵害、ランサムウェアの蔓延、広範な運用中断などの重大なリスクをもたらします。

この脆弱性の悪用は概念的には簡単ですが、高度な技術的専門知識が必要です。たとえば、攻撃者は、わずか 100 ～ 200 バイトの制約されたスペース内で機能できるシェルコードを作成する必要があります。

この制限にもかかわらず、サイバーセキュリティの専門家は、熟練した攻撃者であればこれらの課題を容易に克服できる可能性があり、このエクスプロイトが明らかに危険であると警告しています。

この 7-Zip ゼロデイのリリースにより、ソフトウェアの脆弱性と責任ある開示プロセスに関する幅広い懸念が生じています。

開発者がパッチを適用する時間を与えられる公式チャネルを通じて報告された脆弱性とは異なり、警告なしに公開されると、攻撃者は保護されていないシステムを悪用する機会を即座に得ることになります。

懸念をさらに悪化させるのは、「NSA_Employee39」が、オープンソース フォーラム ソフトウェアである MyBB をターゲットとした別のゼロデイ リリースが差し迫っていることをほのめかしたことです。これが明らかになると、大規模な侵害につながり、無数のオンライン コミュニティの機密データベースが公開される可能性があります。

ユーザーと組織は何をすべきでしょうか?

7-Zip の脆弱性に対する公式パッチはまだリリースされていませんが、サイバーセキュリティの専門家は、リスクを最小限に抑えるために直ちに措置を講じることを推奨しています。主な手順は次のとおりです。

• アップデートを監視する: ユーザーと組織は、7-Zip の開発者からのアップデートを注意深く追跡し、パッチがリリースされたらすぐに適用する必要があります。
• 緩和戦略を実施します。 組織は、ファイルのサンドボックス化とスキャンのメカニズムを導入して、サードパーティのファイルを処理する前に精査する必要があります。
• 意識を高める: トレーニングを実施して、迷惑または不審なアーカイブ ファイルを開くリスクについてユーザーを教育します。
• コミュニティのコラボレーション: サイバーセキュリティの専門家と研究者は、このエクスプロイトやその他のエクスプロイトによってもたらされる新たな脅威を分析し、対抗するために協力する必要があります。

防御側にとっては、急速に進化する脅威に直面して防御を強化し、警戒を維持することが緊急に必要であることが強調されます。

サイバーセキュリティ コミュニティは現在、7-Zip の開発者による修正の可能性や MyBB ゼロデイの約束された公開など、さらなる発展を待っています。

それまでの間、このエクスプロイトは世界中のサプライ チェーン、重要なシステム、ユーザーに広範なリスクをもたらすため、組織や個人は常に警戒を続ける必要があります。

アップデート：

7-Zip の作成者である Igor Pavlov は、7-Zip ディスカッション フォーラムのバグ セクションでの主張を却下し、次のように述べました。「Twitter のこの報告は偽物です。なぜこのTwitterユーザーがそのような主張をしたのか理解できません。 7-Zip / LZMA には ACE 脆弱性はありません。」

@NSA_Employee39 アカウントは、ソーシャル メディアでのコメント要請にすぐには返答しませんでした。

東部標準時間午後 4 時更新:

@NSA_Employee39 アカウントは、Pastebin で最新情報を共有しました。「この脆弱性は、LZMA ストリーム構造の検証が不十分なために発生し、不正な入力によってオーバーフローが引き起こされ、任意のコードが実行される可能性があります。これは概念実証であることを忘れないでください。」

東部標準時間午後 6 時更新:

イーゴリ・パブロフはXアカウントが共有した声明を否定した。彼は、「LZMA デコーダーには RC_NORM 関数はありません。代わりに、7-Zip には LZMA エンコーダと PPMD​​ デコーダに RC_NORM マクロが含まれています。したがって、LZMA デコード コードは RC_NORM を呼び出しません。また、エクスプロイトのコメントにある RC_NORM に関する記述は真実ではありません。」

更新: 2025 年 1 月 1 日 – 午前 12:38:

カスペルスキーの研究者であるマーク R 氏は次のように述べています。 RC_NORM マクロ 安全であり、脆弱性はありません。

さらに、彼らは次のことを確認した 不正な形式の LZMA ストリーム オーバーフローを引き起こすのではなくエラーを引き起こし、そのような場合の処理​​における堅牢性を確保します。さらに、 シェルコードとオフセット 概念実証に含まれる機能は機能しないため、エクスプロイトは無効になります。

ANY.RUN を使用して、現実世界の悪意のあるリンク、マルウェア、フィッシング攻撃を調査します – 無料でお試しください