Το Proof-of-concept μιας ευπάθειας των Windows Themes (ThemeBleed) με αναγνωριστικό CVE-2023-38146 έχει κυκλοφορήσει δημόσια. Αυτή η ευπάθεια επιτρέπει σε εισβολείς να εκτελούν κώδικα απομακρυσμένα.

Δείτε επίσης: Windows 11 KB5030219: Φέρνει βελτιώσεις και διορθώσεις σφαλμάτων

Η ευπάθεια είναι επίσης γνωστή ως ThemeBleed και έχει λάβει υψηλή βαθμολογία σοβαρότητας 8,8. Μια εκμετάλλευση μπορεί να προκύψει εάν ο χρήστης στόχος ανοίξει ένα κακόβουλο αρχείο .THEME που δημιουργήθηκε από τον εισβολέα.

Ο κώδικας εκμετάλλευσης κυκλοφόρησε από τον Gabe Kirkpatrick, έναν από τους ερευνητές που ανέφεραν την ευπάθεια στη Microsoft στις 15 Μαΐου και του απονεμήθηκαν 5.000 $ για το εύρημα. Η Microsoft αναφέρθηκε στο CVE-2023-38146 πριν από δύο ημέρες κατά την ενημέρωση του κώδικα Patch Tuesday για το Σεπτέμβριο του 2023.

Ο Kirkpatrick ανακάλυψε την ευπάθεια εξετάζοντας “παράξενες μορφές αρχείων των Windows”, μεταξύ των οποίων είναι το .THEME για αρχεία που χρησιμοποιούνται για την προσαρμογή της εμφάνισης του λειτουργικού συστήματος. Αυτά τα αρχεία περιέχουν αναφορές σε αρχεία «.msstyles». Κανονικά δεν πρέπει να περιέχουν κώδικα, αλλά μόνο γραφικούς πόρους που φορτώνονται κατά το άνοιγμα του αρχείου θέματος.

Ο ερευνητής παρατήρησε ότι, όταν χρησιμοποιείται ο αριθμός έκδοσης “999“, υπάρχει μια σημαντική απόκλιση στη ρουτίνα για την επεξεργασία του αρχείου .MSSTYLES, μεταξύ του χρόνου επαλήθευσης της υπογραφής ενός DLL (“_vrf.dll”) και της φόρτωσης της βιβλιοθήκης. Αυτό δημιουργεί μια κατάσταση ανταγωνισμού.

Δείτε ακόμα: Microsoft Paint Windows 11: Νέο εργαλείο για αφαίρεση φόντου εικόνας

Χρησιμοποιώντας έναν ειδικά κατασκευασμένο .MSSTYLES, ένας εισβολέας μπορεί να εκμεταλλευτεί μια ευπάθεια για να αντικαταστήσει ένα επαληθευμένο DLL με ένα κακόβουλο, επιτρέποντάς του έτσι να εκτελεί αυθαίρετο κώδικα στη συσκευή-στόχο.

Ο Kirkpatrick δημιούργησε ένα PoC exploit που ανοίγει τον υπολογιστή Windows όταν ο χρήστης εκκινεί ένα αρχείο θέματος.

Ο ερευνητής επισημαίνει επίσης ότι η λήψη ενός αρχείου θέματος από τον ιστό ενεργοποιεί την προειδοποίηση “mark-of-the-web”, η οποία μπορεί να ειδοποιήσει τον χρήστη για τυχόν απειλές

. Ωστόσο, αυτό μπορεί να αποφευχθεί εάν ο εισβολέας καλύψει το θέμα σε ένα αρχείο .THEMEPACK, το οποίο είναι ουσιαστικά ένα αρχείο CAB.

Κατά την εκκίνηση του αρχείου CAB, το περιεχόμενο εκκινείται αυτόματα χωρίς να εμφανίζεται προειδοποίηση mark-of-the-web.

Η Microsoft αντιμετώπισε το πρόβλημα με τον πλήρη αφανισμό της λειτουργίας “έκδοση 999”. Παρ’ όλα αυτά, ο Kirkpatrick αναφέρει ότι η κατάσταση παραμένει υπό συζήτηση. Επιπλέον, η Microsoft δεν επέδειξε προσοχή στην έλλειψη προειδοποιήσεων mark-of-the-web για αρχεία themepack.

Συνιστάται στους χρήστες των Windows να εγκαταστήσουν το πακέτο ενημερώσεων ασφαλείας της Microsoft για τον Σεπτέμβριο του 2023 το συντομότερο δυνατόν. Αυτό το πακέτο επιδιορθώνει δύο ευπάθειες zero-day που έχουν εκμεταλλευτεί και 57 άλλα προβλήματα ασφαλείας σε διάφορες εφαρμογές και στοιχεία του συστήματος.

Δείτε επίσης: Windows 11: Δε θα επιβάλλουν τον Edge στους χρήστες της Ευρώπης

Τα PoC, ή αποδείξεις της ιδέας, είναι ουσιαστικά δοκιμές που καταδεικνύουν ότι ένα θεωρητικό χάσμα ασφαλείας ή ευπάθεια μπορεί πραγματικά να χρησιμοποιηθεί για κακόβουλους σκοπούς. Στην περίπτωση της ευπάθειας “ThemeBleed”, ο Gabe Kirkpatrick δημιούργησε ένα PoC exploit που κατάφερε να κάνει τη συσκευή των Windows να τρέχει τυχαίο κώδικα όταν ο χρήστης εκκίνησε ένα αρχείο θέματος. Αυτό επιβεβαιώνει την απειλή που αντιπροσωπεύει αυτή η ευπάθεια και τη σημασία της άμεσης εφαρμογής των κατάλληλων διορθωτικών μέτρων.