Proof-of-concept exploit kod je objavljen za ranjivost Windows tema praćenu kao CVE-2023-38146 koja omogućava udaljenim hakerima da izvrše kod.
Sigurnosni problem se također naziva ThemeBleed i dobio je ocjenu visoke ozbiljnosti 8,8. Može se iskoristiti ako ciljni korisnik otvori malicioznu .THEME datoteku koju je napravio haker.
Exploit kod je objavio Gabe Kirkpatrick, jedan od istraživača koji je prijavio ranjivost Microsoftu 15. maja i dobio 5.000 dolara za grešku.
Microsoft je riješio CVE-2023-38146 prije dva dana u zakrpi za septembar 2023. Patch Tuesday.
ThemeBleed detalji
Kirkpatrick je pronašao ranjivost gledajući “čudne Windows formate datoteka”, a jedan od njih je .THEME za datoteke koje se koriste za prilagođavanje izgleda operativnog sistema.
Ove datoteke sadrže reference na datoteke ‘.msstyles’, koje ne bi trebale sadržavati kod, već samo grafičke resurse koji se učitavaju kada se otvori datoteka teme koja ih poziva.
Istraživač je primijetio da kada se koristi broj verzije “999”, rutina za rukovanje .MSSTYLES datotekom uključuje veliku nesklad između vremena verifikacije potpisa DLL-a (“_vrf.dll”) i vremena kada se biblioteka učita, stvarajući stanje utrke.
Koristeći posebno kreirani .MSSTYLES, haker može iskoristiti prozor utrke da zamijeni verifikovani DLL zlonamernim, dozvoljavajući im na taj način da pokrenu proizvoljan kod na ciljnoj mašini.
Kirkpatrick je kreirao PoC exploit koji otvara Windows kalkulator kada korisnik pokrene datoteku teme.
Istraživač također napominje da preuzimanje datoteke teme s weba pokreće upozorenje ‘mark-of-the-web’, koje bi moglo upozoriti korisnika na prijetnju. Međutim, ovo bi se moglo zaobići ako haker umota temu u .THEMEPACK datoteku, koja je CAB arhiva.
Prilikom pokretanja CAB datoteke, sadržana tema se automatski otvara bez prikazivanja ‘mark-of-the-web’ upozorenja.
Microsoft je riješio problem tako što je u potpunosti uklonio funkcionalnost “verzije 999”. Međutim, osnovno stanje utrke ostaje, kaže Kirkpatrick. Osim toga, Microsoft se nije pozabavio odsustvom mark-of-the-web upozorenja za fajlove tematskog paketa.
Korisnicima Windows-a se preporučuje da što prije primjene Microsoftov paket sigurnosnih ažuriranja iz septembra 2023. godine, jer popravlja dvije ranjivosti nultog dana koje su pod aktivnom eksploatacijom i još 57 sigurnosnih problema u različitim aplikacijama i sistemskim komponentama.
Izvor: BleepingComputer