大分時間が経ってしまったけどどうやら訂正する気はないようなので。
結論
There is nothing else to discuss Kağan, you've produced no evidence of any vulnerability other than a highly misleading video and a bunch of vulnerability-themed word salad. I think you should move on.
— Tavis Ormandy (@taviso) 2022年4月21日
Inspired by this 7-Zip CVE-2022-29072 issue that folks are talking about, I decided to discover a similar vulnerability in XVI32. I have assigned it CVE-2022-GTFO
— Will Dormann is not in Vegas (@wdormann) 2022年4月19日
I will not be sharing the details so that XVI32 users are protected. The video is all you need as proof, right? pic.twitter.com/iEx1TQ5ie1
はい。
じゃあここからは俺なりのツッコミを入れていく。
「サービスもデバイスドライバも使ってない自プロセスで完結してる7zFM.exeプロセス内でヒープオーバーフローを起こしてWindows APIを誤った引数で呼び出すと認証なく管理者権限のプロセスが実行できるのは7-Zipの脆弱性」
もうね、馬鹿かとアホかと。
これに何の疑問も抱かない奴も馬鹿。
仮に7-Zipが修正()したところで同じことをするexploit()が作られるだけなんだよなぁ。
次
で?っていう。そんなスクショには何の情報的価値もない。
次
"psexec -s cmd"してんのはSYSTEM権限でcmdを実行するためとかほざいてるけどそのpsexecは誰の権限で動いてんだよ。
次
何の情報的価値もないその2.暗黙リンクしたWriteFileを呼び出すとどういうコールフローを辿るのか説明してるだけで脆弱性と何の関係もない画像。
次
脆弱性緩和策として「7-zip.chmを削除する」「7-Zipのインストール先に書き込みできないようにする」の2つが挙げられているけど(脆弱性が本物だと仮定した場合)どちらも意味が無い。
初期設定でProgram Filesディレクトリは管理者権限が無いと書き込めないようになってるだろっていうのもそうなんだが、どちらの対策も行ったところで7zFM.exeと7-zip.chmを他所から持ってきてデスクトップなりに置けばローカル攻撃可能だから意味が無い。
さらに言えば古いバージョンの7zFM.exeと7-zip.chmを用意すればまた攻撃可能になるので7-Zipのコードを修正することに意味が無い。
ちなみにhh.exeにXXE攻撃すると子プロセスが作れるってのは本当。
でも呼び出し元プロセスの権限==hh.exeの権限==子プロセスの権限だからこんな操作をするならセルフXSSを脆弱性って呼ぶくらいに意味が無い。
Win+Rってやったほうがもっと早くプロセス作れますよ。
おまけ
CVE-2022-29072の報告者は数多くのシェルコード()を投稿しているのでその中から一つ紹介
https://github.com/kagancapar/disable-aslr-security-shellcode
あ ほ く さ
