Το σφάλμα RCE «ThemeBleed» των Windows 11 λαμβάνει εκμετάλλευση απόδειξης της ιδέας

Ο κώδικας εκμετάλλευσης απόδειξης της ιδέας έχει δημοσιευτεί για μια ευπάθεια των Windows Themes που παρακολουθείται ως CVE-2023-38146 και επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν κώδικα.

Το ζήτημα ασφαλείας αναφέρεται επίσης ως ThemeBleed και έλαβε βαθμολογία υψηλής σοβαρότητας 8,8. Μπορεί να γίνει εκμετάλλευση εάν ο χρήστης-στόχος ανοίξει ένα κακόβουλο αρχείο .THEME που δημιουργήθηκε από τον εισβολέα.

Ο κώδικας εκμετάλλευσης κυκλοφόρησε από τον Gabe Kirkpatrick, έναν από τους ερευνητές που ανέφερε την ευπάθεια στη

Microsoft

στις 15 Μαΐου και έλαβε 5.000 $ για το σφάλμα.

απευθύνθηκε η Microsoft

CVE-2023-38146

πριν από δύο ημέρες στο

Patch Tuesday

Σεπτεμβρίου 2023.

Λεπτομέρειες ThemeBleed

Ο Kirkpatrick βρέθηκε

την ευπάθεια κατά την εξέταση “περίεργων μορφών αρχείων των Windows”, μία από αυτές είναι το .ΘΕΜΑ για αρχεία που χρησιμοποιούνται για την προσαρμογή της εμφάνισης του λειτουργικού συστήματος.

Αυτά τα αρχεία περιέχουν αναφορές σε αρχεία ‘.msstyles’, τα οποία δεν πρέπει να περιέχουν κώδικα, αλλά μόνο γραφικούς πόρους που φορτώνονται όταν ανοίγει το αρχείο θέματος που τα καλεί.

Ο ερευνητής παρατήρησε ότι όταν χρησιμοποιείται ένας αριθμός έκδοσης “999”, η ρουτίνα για το χειρισμό του αρχείου .MSSTYLES περιλαμβάνει μια σημαντική απόκλιση μεταξύ του χρόνου

επα

λήθευσης της υπογραφής ενός DLL (“_vrf.dll”) και όταν φορτώνεται η βιβλιοθήκη, δημιουργώντας έναν αγώνα κατάσταση.

Χρησιμοποιώντας ένα ειδικά κατασκευασμένο .MSSTYLES, ένας εισβολέας μπορεί να εκμεταλλευτεί ένα παράθυρο αγώνα για να αντικαταστήσει ένα επαληθευμένο DLL με ένα κακόβουλο, επιτρέποντάς του έτσι να εκτελεί αυθαίρετο κώδικα στο μηχάνημα-στόχο.

Κέρκπατρικ

δημιούργησε ένα PoC exploit

που ανοίγει την Αριθμομηχανή των Windows όταν ο χρήστης εκκινεί ένα αρχείο θέματος.

Ο ερευνητής σημειώνει επίσης ότι η λήψη ενός αρχείου θέματος από τον ιστό ενεργοποιεί την προειδοποίηση «mark-of-the-web», η οποία θα μπορούσε να ειδοποιήσει τον χρήστη για την απειλή. Ωστόσο, αυτό θα μπορούσε να παρακαμφθεί εάν ο εισβολέας αναδιπλώσει το θέμα σε ένα αρχείο .THEMEPACK, το οποίο είναι ένα αρχείο CAB.

Κατά την εκκίνηση του αρχείου CAB, το

περιεχόμενο

θέμα ανοίγει αυτόματα χωρίς να εμφανίζεται η προειδοποίηση σήμανσης του ιστού.

Η Microsoft

διόρθωσε το πρόβλημα καταργώντας εντελώς τη λειτουργία “έκδοση 999”. Ωστόσο, η υποκείμενη κατάσταση του αγώνα παραμένει, λέει ο Kirkpatrick. Επιπλέον, η Microsoft δεν αντιμετώπισε την απουσία προειδοποιήσεων σήμανσης του ιστού για αρχεία themepack.

Συνιστάται στους χρήστες των Windows να εφαρμόσουν το πακέτο ενημερώσεων ασφαλείας Σεπτεμβρίου 2023 της Microsoft το συντομότερο δυνατό, καθώς επιδιορθώνει δύο ευπάθειες zero-day που βρίσκονται υπό ενεργή εκμετάλλευση και άλλα 57 προβλήματα ασφαλείας σε διάφορες εφαρμογές και στοιχεία συστήματος.