В конце 2024 года по сети разлетелась тревожная новость: пользователь под ником NSA_Employee39, представившийся хакером на платформе X, заявил, что раздобыл и опубликовал эксплойт для уязвимости нулевого дня в популярном архиваторе 7-Zip. По его словам, вредоносный код срабатывал при простом открытии или распаковке специально сформированного архива в последней версии программы — без каких-либо дополнительных действий пользователя.
Это не первый тревожный звонок для 7-Zip: незадолго до этого издание Cybersecurity News уже сообщало об уязвимости CVE-2024-11477, позволявшей удалённым злоумышленникам выполнять произвольный код через специально созданные архивы.
Как якобы работал эксплойт
По утверждению автора, атака нацелена на декодер LZMA внутри 7-Zip. Злоумышленник формирует некорректный LZMA-поток, который должен был вызывать переполнение буфера в функции RC_NORM, манипулируя указателями буфера и выравниванием полезной нагрузки. В качестве демонстрации NSA_Employee39 выложил на Pastebin скриншот с кодом, который в безобидном варианте запускал стандартный калькулятор Windows (calc.exe) — но, как подчёркивалось, эту нагрузку легко заменить на действительно вредоносную.
Сценарий выглядел особенно опасным на фоне роста инфостилеров — программ, которые тихо воруют пароли, банковские данные и другую конфиденциальную информацию. Обычно такие зловреды маскируются в защищённых паролем .rar- или .zip-архивах, чтобы обойти антивирусные сканеры. Заявленная уязвимость в 7-Zip якобы снимала даже эту преграду: достаточно было открыть обычный .7z-файл.
Отдельную тревогу вызывала перспектива атак на цепочки поставок: многие организации автоматически распаковывают файлы, полученные от внешних партнёров, и вредоносный .7z мог незаметно проникнуть в такие процессы, спровоцировав утечку данных или распространение шифровальщиков. Правда, для реальной эксплуатации атакующему пришлось бы уместить работоспособный шеллкод в 100–200 байт — задача нетривиальная, хотя эксперты не исключали, что опытные злоумышленники способны её решить. Автор также намекнул, что готовит публикацию ещё одного нулевого дня — на этот раз для форумного движка MyBB.
Опровержение от создателя 7-Zip и независимого исследователя
Однако дальнейшие события развернули историю в другую сторону. Игорь Павлов, создатель 7-Zip, в разделе багов официального форума программы прямо назвал заявление фейком: «Этот твит — ложь. Не понимаю, зачем этот пользователь X сделал такое заявление. Уязвимости ACE в 7-Zip/LZMA не существует». Позже он добавил более техническое опровержение: функции RC_NORM в декодере LZMA попросту не существует — есть макрос RC_NORM в кодере LZMA и декодере PPMD, но код декодирования LZMA его не вызывает.
Сам NSA_Employee39 на комментарии почти не реагировал, лишь уточнив на Pastebin, что речь идёт о «PROOF OF CONCEPT» — концептуальном доказательстве, а не готовом рабочем эксплойте.
Точку в истории поставил исследователь из Kaspersky Марк Р. (аккаунт @Seifreed), детально разобравший опубликованный PoC. Он подтвердил, что макрос RC_NORM безопасен и уязвимостей не содержит, что некорректные LZMA-потоки в реальности приводят к ошибкам, а не к переполнению буфера, и что шеллкод со смещениями, приведённые в публикации, попросту нерабочие — то есть эксплойт неэффективен.
Что это значит на практике
Официального патча под эту историю выпускать не пришлось — уязвимость не подтвердилась. Тем не менее эксперты сохраняют общие рекомендации: следить за обновлениями 7-Zip, применять песочницы и антивирусное сканирование для файлов из внешних источников, обучать сотрудников не открывать подозрительные архивы и по возможности проверять резонансные заявления об уязвимостях у независимых специалистов, прежде чем поднимать тревогу. История с 7-Zip — хороший пример того, насколько быстро непроверенный твит может обрасти паническими заголовками, и насколько важна оперативная и грамотная верификация со стороны сообщества безопасности.
Источник: Cybersecurity News.