Neue Sicherheitslücken in 7-Zip ermöglichen Angreifern die Ausführung beliebigen Codes und die Kompromittierung von Systemen

Durch die Ausnutzung einer Fehlerstelle in der Funktion CInStream::GetCuSize() der Datei NtfsHandler.cpp kann ein sogenannter vtable-Hijack erfolgen, der die Ausführung Ursache liegt in der Berechnung der Puffergröße für die NTFS-Komprimierungseinheit. Die Funktion führt eine 32-Bit-Shift-Operation aus: (UInt32)1 << 28.

Dieser Wert wird explizit vom Parser akzeptiert. Da ein komprimiertes Datenattribut den Wert CompressionUnit == 4 aufweist, steigt der Shift-Exponent auf 32 an und löst undefiniertes Verhalten (UB) in C++ aus. Auf x86-Architekturen führt dieses undefinierte Verhalten dazu, dass der Puffer _inBuf aufgrund der Hardware-Maskierung öße ält.

Dieser zu kleine Puffer wird sodann in einem Aufruf von ReadStream_FALSE verwendet, der bis zu 256 Megabyte Daten vom Angreifer in diese einzelne Byte-Allokation schreiben kann.

Technischer Hintergrund

Da das Stream-Objekt CInStream nur 304 Bytes hinter _inBuf auf dem Heap alloziert, überschreibt die erste Leseiteration von 64 Kilobyte den Zeiger auf die Virtuellen-Tabelle (vtable) des Objekts. In der zweiten Iteration führt der Zugriff über die manipulierte vtable einen klassischen vtable-Hijack aus.

Der Angreifer kontrolliert dabei die überschriebene Zeigeradresse vollständig durch speziell erstellten NTFS-Cluster-Inhalt. Betroffen sind sowohl 32-Bit- als auch 64-Bit-Versionen des Programms. Auf 64-Bit-Systemen mit einem Arbeitsspeicher von 16 Gigabyte oder mehr führt der Aufruf _outBuf.Alloc(8 GB) direkt zum Überlauf und damit zur Codeausführung.

Auf Systemen mit geringerem Speicherlimitiert ein Allokationsfehler die Auswirkung zunächst auf einen Denial-of-Service (DoS). Besonders gefährlich ist die erweiterungsagnostische Angriffsfläche der Schwachstelle. Der NTFS-Handler nutzt eine signaturbasierte Fallback-Erkennung, die auf die Signatur "NTFS " am Byte-Offset 3 abgestimmt ist.

Einordnung fuer Autofahrer

Dies bedeutet, dass ein speziell konstruiertes NTFS-Bild mit jeder beliebigen Dateierweiterung – sei es.7z,.zip,.rar oder auch ohne Erweiterung – den anfälligen Handler auslösen kann, sofern der erweiterungsabhängige Handler die Datei zuvor abgelehnt hat. Für das Öffnen der manipulierten Datei ist keine weitere Interaktion durch den Benutzer erforderlich.

Die Sicherheitslücke erhält einen CVSS 3.1-Score von 8,8 (Hoch) mit dem Vektor AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Sie wird den Schwachstellenklassifikationen CWE-787 (Out-of-Bounds Write) und CWE-190 (Integer Overflow or Wraparound) zugeordnet.

Alle Versionen von 7-Zip bis einschließlich 26.00 sind betroffen, da die fehlerhafte Berechnung in der Funktion GetCuSize() seit der ersten Einführung der Unterstützung für NTFS-komprimierte Streams existiert. Die Schwachstelle wurde čevski (@JarLob) aus dem GitHub Security Lab entdeckt und verantwortungsvoll gemeldet.

Die Bestätigung der Lücke erfolgte mittels

Die Bestätigung der Lücke erfolgte mittels UBSan (UndefinedBehaviorSanitizer) unter Clang auf einem Linux x64-System. Das Tool meldete die ursächliche Verschiebe-UB in NtfsHandler.cpp:687, gefolgt ültigen Dereferenzierung einer Virtuellen-Tabelle, die zu einem SIGSEGV führte.

Benutzer werden dringend aufgefordert, 7-Zip unverzüglich auf eine gepatchte Version zu aktualisieren. Bis ein Patch verfügbar ist, sollte das Öffnen Erweiterungen, die nicht als vertrauenswürdig eingestuft werden können, vermieden werden.