-
27/04/2017
-
30
-
76 bài viết
Nhà nghiên cứu tiết lộ lỗ hổng RCE và PoC trên Windows Themes
Lỗ hổng có mã định danh CVE-2023-38146, điểm CVSS là 8.8 tồn tại trong Windows Themes có thể cho phép kẻ tấn công thực thi mã tùy ý.
Để khai thác lỗ hổng này, kẻ tấn công sẽ thuyết phục người dùng mục tiêu tải một tệp Windows Themes, cụ thể là .theme trên hệ thống có quyền truy cập vào SMB share (một dạng chia sẻ tài nguyên trong mạng) được quản lý bởi kẻ tấn công.
Tệp .theme trong môi trường Windows được sử dụng để tùy chỉnh giao diện của hệ điều hành. Về cơ bản, những tệp này là INI, chứa các chi tiết cấu hình. Khi được gọi chạy trong Windows 11, một tệp .theme sẽ được thực thi qua câu lệnh sau:
Phát hiện của các nhà nghiên cứu liên quan nhiều hơn đến việc xử lý những tệp .msstyles. Đó là các tệp DLL chứa tài nguyên, như biểu tượng để tích hợp vào giao diện.
Điều đáng lo ngại là chúng không nên chứa bất kỳ kỳ mã nào. Trọng tâm của lỗ hổng CVE-2023-38146 nằm ở việc kiểm tra phiên bản của các giao diện. Khi phiên bản của giao diện là 999, nó sẽ xâm nhập vào một hàm khác là ReviseVersionIfNecessary.
Hiện đã có mã khai thác (PoC) của lỗ hổng CVE-2023-38146. Nhà nghiên cứu đã sử dụng một máy chủ SMB do kẻ tấn công kiểm soát làm máy chủ .theme, vì tệp .theme có thể trỏ đến một đường dẫn .msstyle trên một SMB share xa. Bằng cách tận dụng sự kiểm soát của SMB share này, kẻ tấn công có thể lợi dụng lỗ hổng TOCTOU trong ReviseVersionIfNecessary.
Giải pháp để giải quyết lỗ hổng trên:
Để khai thác lỗ hổng này, kẻ tấn công sẽ thuyết phục người dùng mục tiêu tải một tệp Windows Themes, cụ thể là .theme trên hệ thống có quyền truy cập vào SMB share (một dạng chia sẻ tài nguyên trong mạng) được quản lý bởi kẻ tấn công.
Tệp .theme trong môi trường Windows được sử dụng để tùy chỉnh giao diện của hệ điều hành. Về cơ bản, những tệp này là INI, chứa các chi tiết cấu hình. Khi được gọi chạy trong Windows 11, một tệp .theme sẽ được thực thi qua câu lệnh sau:
“C:\WINDOWS\system32\rundll32.exe” “C:\WINDOWS\system32\themecpl.dll,OpenThemeAction <đường dẫn tệp theme>“
Phát hiện của các nhà nghiên cứu liên quan nhiều hơn đến việc xử lý những tệp .msstyles. Đó là các tệp DLL chứa tài nguyên, như biểu tượng để tích hợp vào giao diện.
Điều đáng lo ngại là chúng không nên chứa bất kỳ kỳ mã nào. Trọng tâm của lỗ hổng CVE-2023-38146 nằm ở việc kiểm tra phiên bản của các giao diện. Khi phiên bản của giao diện là 999, nó sẽ xâm nhập vào một hàm khác là ReviseVersionIfNecessary.
Hiện đã có mã khai thác (PoC) của lỗ hổng CVE-2023-38146. Nhà nghiên cứu đã sử dụng một máy chủ SMB do kẻ tấn công kiểm soát làm máy chủ .theme, vì tệp .theme có thể trỏ đến một đường dẫn .msstyle trên một SMB share xa. Bằng cách tận dụng sự kiểm soát của SMB share này, kẻ tấn công có thể lợi dụng lỗ hổng TOCTOU trong ReviseVersionIfNecessary.
Giải pháp để giải quyết lỗ hổng trên:
- Loại bỏ hoàn toàn các chức năng "phiên bản 999". Tuy nhiên, điều này chỉ đối phó với một lỗ hổng cụ thể và bỏ qua vấn đề TOCTOU trong tệp ký .msstyles.
- Sử dụng các thủ tục tiêu chuẩn của Windows để ký và xác minh tệp nhị phân _vrf.dll.
- Ngăn chặn việc tải tài nguyên từ các chia sẻ từ xa trong các tệp chủ đề.
- Đưa ra cảnh báo "Mark-of-the-Web" cho các tệp .themepack.
Nguồn: securityonline
Chỉnh sửa lần cuối bởi người điều hành: