ThemeBleed: exploit para vulnerabilidad en THEME de Windows 11

Se ha publicado un código de explotación y PoC para una vulnerabilidad en los temas de Windows identificada como CVE-2023-38146 que permite a atacantes remotos ejecutar código. Microsoft abordó y solucionó CVE-2023-38146 hace dos días en el martes de parches de septiembre de 2023.

El problema de seguridad también se conoce como ThemeBleed y recibió una puntuación de alta gravedad de 8,8. Puede explotarse si el usuario objetivo abre un archivo .THEME malicioso creado por el atacante.

El código de explotación fue publicado por Gabe Kirkpatrick, uno de los investigadores que informó la vulnerabilidad a Microsoft el 15 de mayo y recibió 5.000 dólares por el error.

Kirkpatrick encontró la vulnerabilidad mientras buscaba "formatos de archivo extraños de Windows", uno de ellos era .THEME para archivos utilizados para personalizar la apariencia del sistema operativo. Estos archivos contienen referencias a archivos '.msstyles', que no deben contener código, solo recursos gráficos que se cargan cuando se abre el archivo de tema que los invoca.

El investigador notó que cuando se usa un número de versión "999", la rutina para manejar el archivo .MSSTYLES incluye una discrepancia importante entre el momento en que se verifica la firma de una DLL ("_vrf.dll") y el momento en que se carga la biblioteca, creando una condición de carrera del tipo TOCTOU (Time to Check - Time to Use).

Utilizando un .MSSTYLES especialmente diseñado, un atacante puede aprovechar una ventana de tiempo para reemplazar una DLL verificada por una maliciosa, lo que le permite ejecutar código arbitrario en la máquina de destino.

Kirkpatrick creó un exploit PoC que abre la Calculadora de Windows cuando el usuario inicia un archivo de tema. El investigador también señala que la descarga de un archivo temático de la web y con advertencia de "mark-of-the-web" podría alertar al usuario de la amenaza. Sin embargo, esto podría evitarse si el atacante envuelve el tema en un archivo .THEMEPACK, que es un archivo CAB. Al iniciar el archivo CAB, el tema contenido se abre automáticamente sin mostrar la advertencia de marca de la web.

Microsoft solucionó el problema eliminando por completo la funcionalidad de la "versión 999". Sin embargo, la condición TOCTOU subyacente persiste, dice Kirkpatrick. Además, Microsoft no abordó la ausencia de advertencias de marcas web para los archivos de paquetes temáticos.

Se recomienda a los usuarios de Windows que apliquen el paquete de actualizaciones de seguridad de septiembre de 2023 de Microsoft lo antes posible, ya que corrige dos vulnerabilidades Zero-Days que están bajo explotación activa y otros 57 problemas de seguridad en varias aplicaciones y componentes del sistema.

Fuente: BC

Suscríbete a nuestro Boletín