Sicherheitslücken in IBM-Software und 7-Zip ermöglichen DoS- und Schadcode-Angriffe

Nach Angaben von Microsoft wurde die Schwachstelle zum Zeitpunkt der Offenlegung noch nicht in freier Wildbahn angegriffen. Der CVE-Eintrag wurde in der Nacht zum Mittwoch veröffentlicht, stellt jedoch keine Notfall-Aktualisierung dar.

Tatsächlich handelte es sich um einen zunächst vergessenen CVE-Eintrag: Der eigentliche Fix war bereits im Rahmen des Mai Patch Tuesday ausgeliefert worden. Die Updates stehen für SharePoint Server 2016, SharePoint Enterprise Server 2016, SharePoint Server 2019 sowie die SharePoint Subscription Edition zur Verfügung.

SharePoint: Ein bekanntes Ziel

Bereits Mitte April hatte Microsoft SharePoint-Updates am Patch Tuesday veröffentlicht, nachdem eine andere SharePoint-Schwachstelle zuvor aktiv ausgenutzt worden war. Dies unterstreicht die anhaltende Attraktivität der Plattform für Cyberkriminelle.

Unabhängig davon wurde eine schwerwiegende Sicherheitslücke in der weit verbreiteten Kompressionssoftware 7-Zip entdeckt. Ein Forscher des GitHub Security Lab (GHSL) identifizierte einen Heap-Pufferüberlauf, der durch unzureichende Speicherzuweisung im NTFS-Komprimierungsdatenpuffer verursacht wird.

7-Zip: Gefahr durch präparierte Archive

Ein erfolgreicher Angriff kann zu einem Denial-of-Service-Zustand oder zur Ausführung beliebigen Schadcodes führen. Auf 32-Bit-Systemen soll der Pufferüberlauf zuverlässig funktionieren, auf 64-Bit-Systemen gelingt der Angriff nur dann zuverlässig, wenn mindestens 16 GB Arbeitsspeicher installiert sind.

Die Schwachstelle lässt sich über ein speziell präpariertes NTFS-Image ausnutzen, das eine beliebige Dateiendung wie .7z, .zip oder .rar tragen kann – oder auch gar keine. Der NTFS-Handler öffnet die schädliche Datei, nachdem der erweiterungsbasierte Handler sie aufgrund einer bestimmten Signatur im Image des Angreifers abgelehnt hat.

Bereits das Öffnen des manipulierten Images mit 7-Zip genügt, um den Exploit auszulösen; eine weitere Benutzerinteraktion ist nicht erforderlich. Ein Proof-of-Concept-Exploit sowie weitere Details sind im GHSL-Bericht verfügbar.

Empfehlungen für Anwender

Die Lücke wurde mit der 7-Zip-Version 26.01 geschlossen, die am 27. April veröffentlicht wurde. Diese Version ist für Windows, Linux und macOS verfügbar und kann von der offiziellen Projektwebsite heruntergeladen werden.

Nutzer beider Produkte sollten die bereitgestellten Sicherheitsupdates umgehend einspielen, um ihre Systeme vor potenziellen Angriffen zu schützen.