{"id":201113,"date":"2018-02-20T02:39:23","date_gmt":"2018-02-20T01:39:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201113"},"modified":"2020-12-24T01:35:19","modified_gmt":"2020-12-24T00:35:19","slug":"warnung-auf-7-zip-verzichten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/20\/warnung-auf-7-zip-verzichten\/","title":{"rendered":"Warnung: Auf 7-Zip verzichten"},"content":{"rendered":"

English<\/a> Bei vielen Anwendern ist das Tool 7-Zip im Einsatz. Nachdem ich mich mit dem Thema besch\u00e4ftigt habe, bin ich zur Erkenntnis gelangt, dass das Programm ein wandelndes Sicherheitsrisiko darstellt. Daher mein Ratschlag an Nutzer das Tools 7-Zip: Vermeidet die Verwendung des kostenlosen Tools 7-Zip und verbannt es von euren Systemen. Erg\u00e4nzung: Beachtet die Erg\u00e4nzungen am Artikelende – das Tool wurde in einigen Kritikpunkten \u00fcberarbeitet.<\/p>\n

<\/p>\n

7-Zip, was ist das?<\/h2>\n

\"\"Das kostenlose Tool 7-Zip ist ein Archivmanager, der neben .zip-Archiven auch weitere unter Windows gebr\u00e4uchliche Packer-Formate wie .rar, .arj oder .lzh unterst\u00fctzt.<\/p>\n

\"Unterst\u00fctzte<\/p>\n

Ich gestehe, ich nutzte hier gelegentlich die portable Variante (diese muss nicht installiert werden), weil ich damit direkt den Inhalt einer .iso-Datei (Abbild einer CD oder DVD) oder einer .vhd-Datei\u00a0 (virtuelles Laufwerk ohne mounten) anzeigen kann. Auch das Entpacken von Microsofts Update-Paketen ist mit 7-Zip schnell erledigt. Und es unterst\u00fctzt die vom kostenpflichtigen WinRAR erzeugten Archive im rar-Format.<\/p>\n

Igor Pavlov stellt 7-Zip kostenlos zur Verf\u00fcgung und in einer idealen Welt k\u00f6nnte das Tool eine super Sache sein. Dummerweise leben wir nicht in einer idealen Welt, sondern in einer Welt, in der auch Schadsoftware existiert.<\/p>\n

7-Zip als wandelnde Sicherheitsl\u00fccke<\/h2>\n

Und in der realen Welt stellt 7-Zip leider so etwas wie ein wandelndes Sicherheitsrisiko dar. Wer 7-Zip zum Entpacken von Archiven aus unbekannten Quellen verwendet, lebt riskant und handelt im Grunde grob fahrl\u00e4ssig! Auf das Risiko bzw. weshalb beim Entpacken eine Gefahr lauert, gehe ich ein paar Abschnitte weiter unten noch gesondert ein.<\/p>\n

Aber ist ist bekannt, dass 7-Zip immer wieder Sicherheitsl\u00fccken aufweist. Ich hatte k\u00fcrzlich im Blog-Beitrag 7-Zip mit Sicherheitsl\u00fccken \u2013 updaten!<\/a> \u00fcber Sicherheitsl\u00fccken in diesem Tool berichtet und ein Update empfohlen. Leider ist das nicht das Ende, denn es geht noch weiter. Blog-Leser Info weist in diesem Kommentar<\/a> auf ein grundlegenderes Problem hin. Zitat:<\/p>\n

Es gibt Programm-Pakete die 7-Zip als zus\u00e4tzliches Tool verwenden. Beispielsweise im Verlauf der Produktaktualisierung(automatisches Update).<\/p>\n

Auch wenn das aktuellste Z-Zip installiert ist, besteht die Gefahr das veraltete Versionen dieses Tools, in den Programmverzeichnissen des Rechners, vorhanden sind.<\/p><\/blockquote>\n

Da haben wir also ein gewaltiges Problem. M\u00f6glicherweise \u2013 ich habe es nicht im Detail analysiert und durchdacht \u2013 gibt es da einen Workaround. Denn gestern erreichte mich eine Mail von Across Security zu 7-Zip. Die verfolgen meinen Blog und schlagen immer mal wieder hier mit Mails ein, wenn von denen wieder einmal eine Sicherheitsl\u00fccke in einem Produkt mittels 0patch geschlossen wurde.<\/p>\n

Micro-Patch f\u00fcr CVE-2017-17969 und CVE-2018-5996<\/h2>\n

In der konkreten Mail bezogen die sich auf die von mir in dem im oben erw\u00e4hnten Blog Beitrag behandelten Sicherheitsl\u00fccken CVE-2017-17969 und CVE-2018-5996, die in \u00e4lteren 7-Zip-Versionen existieren. Hier ein Auszug aus der Mail:<\/p>\n

I read your coverage of the two 7-Zip vulnerabilities (CVE-2017-17969 and CVE-2018-5996) in BornCity, and thought you'd be interested in knowing that our company has created 3rd-party micropatches for these issues in an attempt to improve the way vulnerabilities are being fixed today.<\/p><\/blockquote>\n

Basierend auf dem Blog-Beitrag hier<\/a>, hat 0patch zwei Fixes f\u00fcr die oben genannten Sicherheitsl\u00fccken entwickelt und hier beschrieben<\/a>. In der neuen 7-Zip-Version 18.01 sind beide L\u00fccken geschlossen \u2013 aber 0patch stellt mit den Micropatches auf \u00e4ltere Software-Versionen ab. M\u00f6glicherweise h\u00e4rten diese 0patches mit Software installierte \u00e4ltere 7-Zip-Versionen (aber diese Information ist von meiner Seite nicht valide! \u2013 mir fehlt schlicht die Zeit, da zu graben, ob und in welcher Konstellation die Micropatches wirksam werden, wenn alte Versionen mit anderer Software auf's System gelangt \u2013 den Staffelstab gebe ich mal an Interessierte weiter).<\/p>\n

Das Kernproblem bei 7-Zip<\/h2>\n

Kommen wir nun zum Kernproblem von 7-Zip und meiner Empfehlung, auf dieses Tool zu verzichten. In den Kommentaren hier im Blog<\/a> wird das Ganze angerissen, ohne dass vielleicht jedem klar wird, warum es mit 7-Zip ein (Sicherheits-)Problem gibt.<\/p>\n

Ich gestehe, als ich den Blog-Beitrag 7-Zip mit Sicherheitsl\u00fccken \u2013 updaten!<\/a> schrieb, h\u00e4tte bei mir eigentlich was klingeln m\u00fcssen. Aber der Groschen ist beim Schreiben auch bei mir nicht gefallen – obwohl eigentlich alle Informationen im Blog-Beitrag stecken. Ein Hinweis aus Kreisen von Leuten, die sich mit Sicherheit befassen und der oben verlinkte Kommentar haben mich veranlasst, diesen Text hier zu schreiben.<\/p><\/blockquote>\n

Schauen wir ein wenig unter den Teppich. Origin\u00e4res Ziel beim Einsatz von 7-Zip ist das Entpacken von Archivdateien. Problem ist, dass Sicherheitsl\u00fccken in 7-Zip dazu ausgenutzt werden k\u00f6nnen, Schadcode in Archive zu stecken. Beim Entpacken kommt es dann zu Speicher\u00fcberl\u00e4ufen, die u.U. zur Codeausf\u00fchrung missbraucht werden k\u00f6nnen \u2013 etwas, was kein Benutzer bei 7-Zip erwartet. Platt ausgedr\u00fcckt: Du entpackst nichtsahnend eine Datei, um deren Inhalt zu analysieren (und ggf. auf Malware zu untersuchen). Aber bereits beim Entpacken wird der Sch\u00e4dling aktiv und manipuliert die unter deinem Benutzerkonto erreichbaren Dateien \u2013 keine sehr angenehme Vorstellung.<\/p>\n

Aber das Problem hat noch einen zweiten Namen: Ignoranz seitens des Entwicklers von 7-Zip. Im oben erw\u00e4hnten Blog-Beitrag 7-Zip mit Sicherheitsl\u00fccken \u2013 updaten!<\/a> ging es zwar prim\u00e4r um Schwachstellen im Produkt (die behoben sind). Aber der Knackpunkt findet sich nebenbei im Text in folgenden S\u00e4tzen:<\/p>\n

Im Blog-Beitrag f\u00fchrt Dave aus, dass die 7-Zip Bin\u00e4rdateien f\u00fcr Windows ohne die Compiler-Flags \/NXCOMPAT und \/DYNAMICBASE \u00fcbersetzt wurden (Anmerkung: Genau genommen handelt es sich um Optionen des Linkers, mit dem die Bin\u00e4rdatei gebunden wird). Das bedeutet, dass 7-Zip auf allen Windows-Systemen ohne ASLR l\u00e4uft. Und DEP ist nur unter 64-Bit-Windows-Systemen sowie in der 32-Bit-Version von Windows 10 aktiviert.<\/p>\n

\"7-Zip
\n(Quelle: landave.io)<\/p>\n

Dort ist zu sehen, dass DEP permanent deaktiviert wurde. Dar\u00fcber hinaus wird 7-Zip ohne \/GS-Flag kompiliert, so dass es keine Stack-\u00dcberwachung gibt.<\/p><\/blockquote>\n

F\u00fcr Blog-Leser-\/Innen, die nicht ganz so in der Thematik drin sind: Seit vielen Jahren sind Techniken bekannt, um Software bei der Entwicklung durch Compiler-\/Linker-Optionen gegen Schwachstellen zu h\u00e4rten. Der Compiler\/Linker kann zwar eine im Code enthaltene Schwachstelle nicht beseitigen. \u00dcber Optionen kann man aber als Entwickler daf\u00fcr sorgen, dass sich diese Schwachstelle nicht oder nur sehr schwierig durch Malware \u00fcber Speicher\u00fcberl\u00e4ufe etc. ausnutzen l\u00e4sst.<\/p>\n

Der Entwickler von 7-Zip verzichtet seit Jahren auf den Einsatz dieser oben erw\u00e4hnten Optionen. Der Entdecker der oben erw\u00e4hnten Sicherheitsl\u00fccken hat diese Thematik mit Igor Pavlov (dem Entwickler von 7-Zip) diskutiert. Er versuchte, Pavlov davon zu \u00fcberzeugen, die erw\u00e4hnten Flags zu aktivieren. Dies sollte in aktuellen Software-Produkten g\u00e4ngige Praxis sein, da es dadurch schwerer f\u00fcr Angreifer wird, Sicherheitsl\u00fccken auszunutzen.<\/p>\n

Pavlov weigerte sich jedoch, \/DYNAMICBASE zu aktivieren. Hintergrund: Er zieht es, nach Aussagen des Entdeckers der oben genannten Sicherheitsl\u00fccken, vor, die Bin\u00e4rdateien ohne Relocation-Tabelle zu erstellen, um eine minimale Bin\u00e4rgr\u00f6\u00dfe zu erreichen. Au\u00dferdem will er \/GS nicht aktivieren, da es die Laufzeit und die Bin\u00e4rgr\u00f6\u00dfe beeinflussen k\u00f6nnte. Und es findet sich die Information, dass Pavlov versuchen will, zumindest das Flag \/NXCOMPAT f\u00fcr die n\u00e4chste Version von 7-Zip zu aktivieren. Anscheinend ist es derzeit nicht aktiviert, da 7-Zip mit einem veralteten Linker verkn\u00fcpft ist, der das Flag nicht unterst\u00fctzt.<\/p>\n

Sprich: Der Autor des Werkzeugs setzt irgendwelche veralteten Entwicklungstools ein und will ein paar Bytes im Tool auf Kosten der Sicherheit sparen. Mir liegt noch eine andere Information aus Sicherheitskreisen vor, die ich nicht ver\u00f6ffentlichen kann. Danach wurde Pavlov bereits seit 2015 erfolglos auf die Folgen seines Handelns und m\u00f6gliche L\u00f6sungen hingewiesen \u2013 was aber fruchtlos blieb. Man kann es unter Beratungsresistenz verorten. Unter diesen Gesichtspunkten kann man nur raten: Finger weg von diesem Tool, solange dessen Entwicklung auf diese Weise, quasi 'mit der Kneifzange' betrieben wird.<\/p>\n

Erg\u00e4nzung:<\/strong> Da es nachgefragt wurde, mal schauen, wie die Zeit ausschaut \u2013 vielleicht erg\u00e4nze ich das Ganze. Man kann vieles mit Bordmitteln durchf\u00fchren \u2013 und mit Kontextmen\u00fcbefehlen und Scripten geht es sogar mit Komfort.<\/p>\n

Nachtrag: Unkonventionelles Verhalten bei Netzlaufwerken<\/h2>\n

Gelegentlich blogge ich auch bei administrator.de. Zu meinem Beitrag\u00a0Sicherheitsrisiko: Die Krux mit 7-Zip<\/a>\u00a0kam noch eine interessante R\u00fcckmeldung f\u00fcr Administratoren. Per GPO kann man in Windows f\u00fcr Windows RDS-\/Terminalserver festlegen, welche Laufwerke die Benutzer sehen d\u00fcrfen.\u00a0<\/span>7-Zip h\u00e4lt sich nicht an solche GPOs, sondern erlaubt in den Speichern<\/em>– und \u00d6ffnen-Dialogfelder das Browsen in allen Laufwerken (auch in den per GPO ausgeblendeten).<\/p>\n

Nachtrag 2: Aktuelle Versionen verwenden<\/h2>\n

Der Artikel stammt von Anfang 2018. Inzwischen wurden neuere 7-Zip-Versionen wohl mit modernen Compilern und entsprechenden Compiler-Optionen erstellt, so dass die oben beschriebenen Risiken durch Verzicht auf DEP und ASLR in aktuellen 7-Zip-Versionen nicht mehr bestehen sollten. Allerdings sollte man darauf achten, dass 7-Zip aktuell ist. Und noch ein Tipp:\u00a0Um beim Installer nicht Opfer eines DLL-Hijacking-Angriffs zu werden, empfehle ich, auf die .exe-Installer zu verzichten und stattdessen die .msi-Installer zu verwenden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\n7-Zip mit Sicherheitsl\u00fccken \u2013 updaten!<\/a>
\nUniversalwerkzeug 7-Zip portable<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

English Bei vielen Anwendern ist das Tool 7-Zip im Einsatz. Nachdem ich mich mit dem Thema besch\u00e4ftigt habe, bin ich zur Erkenntnis gelangt, dass das Programm ein wandelndes Sicherheitsrisiko darstellt. Daher mein Ratschlag an Nutzer das Tools 7-Zip: Vermeidet die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-201113","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=201113"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201113\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=201113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=201113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=201113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}