Se ha
publicado un código de explotación y PoC
para una vulnerabilidad en los temas de Windows identificada como
CVE-2023-38146 que permite a atacantes remotos ejecutar código. Microsoft abordó y solucionó CVE-2023-38146 hace dos días en el martes de parches de septiembre de 2023.
El problema de seguridad también se conoce como ThemeBleed y recibió
una puntuación de alta gravedad de 8,8. Puede explotarse si el usuario
objetivo abre un archivo .THEME malicioso creado por el atacante.
El código de explotación fue publicado por Gabe Kirkpatrick, uno de los
investigadores que informó la vulnerabilidad a Microsoft el 15 de mayo y
recibió 5.000 dólares por el error.
Kirkpatrick encontró la vulnerabilidad
mientras buscaba «formatos de archivo extraños de Windows», uno de
ellos era .THEME para archivos utilizados para personalizar la
apariencia del sistema operativo. Estos archivos contienen referencias a
archivos ‘.msstyles’, que no deben contener código, solo recursos
gráficos que se cargan cuando se abre el archivo de tema que los invoca.
El investigador notó que cuando se usa un número de versión «999», la rutina
para manejar el archivo .MSSTYLES incluye una discrepancia importante
entre el momento en que se verifica la firma de una DLL («_vrf.dll») y
el momento en que se carga la biblioteca, creando una condición de carrera del
tipo TOCTOU (Time to Check – Time to Use).
Utilizando un .MSSTYLES especialmente diseñado, un atacante puede
aprovechar una ventana de tiempo para reemplazar una DLL verificada por una
maliciosa, lo que le permite ejecutar código arbitrario en la máquina de
destino.
Kirkpatrick creó un
exploit PoC
que abre la Calculadora de Windows cuando el usuario inicia un archivo de
tema. El investigador también señala que la descarga de un archivo temático de
la web y con advertencia de «mark-of-the-web» podría alertar al usuario
de la amenaza. Sin embargo, esto podría evitarse si el atacante envuelve el
tema en un archivo .THEMEPACK, que es un archivo CAB. Al iniciar el
archivo CAB, el tema contenido se abre automáticamente sin mostrar la
advertencia de marca de la web.
Microsoft solucionó el problema eliminando por completo la funcionalidad de la
«versión 999». Sin embargo, la condición TOCTOU subyacente persiste, dice
Kirkpatrick. Además, Microsoft no abordó la ausencia de advertencias de marcas
web para los archivos de paquetes temáticos.
Se recomienda a los usuarios de Windows que apliquen el paquete de
actualizaciones de seguridad de septiembre de 2023 de Microsoft
lo antes posible, ya que corrige dos vulnerabilidades Zero-Days que están bajo
explotación activa y otros 57 problemas de seguridad en varias aplicaciones y
componentes del sistema.
Fuente:
BC
Los comentarios están cerrados.