O bug 'ThemeBleed' de execução remota de código do Windows 11 obtém prova de conceito de exploração
15 de Setembro de 2023

O código de exploração de prova de conceito foi publicado para uma vulnerabilidade de Temas do Windows, rastreada como CVE-2023-38146 , que permite aos atacantes remotos executarem códigos.

O problema de segurança também é referido como ThemeBleed e recebeu uma pontuação de alta gravidade de 8.8.

Pode ser explorado se o usuário alvo abrir um arquivo .THEME mal-intencionado criado pelo atacante.

O código da exploração foi divulgado por Gabe Kirkpatrick, um dos pesquisadores que relatou a vulnerabilidade à Microsoft em 15 de maio e recebeu $5.000 pela falha.

A Microsoft corrigiu a CVE-2023-38146 há dois dias no Patch Tuesday de setembro de 2023.

Kirkpatrick encontrou a vulnerabilidade enquanto observava "formatos de arquivo estranhos do Windows", um deles sendo .THEME para arquivos usados ​​para personalizar a aparência do sistema operacional.

Esses arquivos contêm referências a arquivos '.msstyles', que não devem conter nenhum código, apenas recursos gráficos que são carregados quando o arquivo de tema que os invoca é aberto.

O pesquisador notou que, quando um número de versão "999" é usado, a rotina de manipulação do arquivo .MSSTYLES inclui uma grande discrepância entre o momento em que uma assinatura de DLL ("_vrf.dll") é verificada e quando a biblioteca carrega, criando uma condição de corrida.

Usando um .MSSTYLES especialmente elaborado, um invasor pode explorar uma janela de corrida para substituir uma DLL verificada por uma maliciosa, permitindo que eles executem códigos arbitrários na máquina alvo.

Kirkpatrick criou uma exploração de PoC que abre a Calculadora do Windows quando o usuário inicia um arquivo de tema.

O pesquisador também observa que o download de um arquivo de tema da web aciona o aviso de 'marca da web', que poderia alertar o usuário sobre a ameaça.

No entanto, isso pode ser contornado se o atacante embrulhar o tema em um arquivo .THEMEPACK, que é um arquivo CAB.

Ao iniciar o arquivo CAB, o tema contido abre automaticamente sem acionar o aviso de 'marca da web'.

A Microsoft corrigiu o problema removendo completamente a funcionalidade “versão 999”.

No entanto, a condição de corrida subjacente permanece, diz Kirkpatrick.

Além disso, a Microsoft não abordou a ausência de avisos de 'marca da web' para arquivos themepack.

Os usuários do Windows são recomendados a aplicar o pacote de atualizações de segurança da Microsoft de setembro de 2023 o mais rápido possível, pois ele corrige duas vulnerabilidades de dia zero que estão sob exploração ativa, e outros 57 problemas de segurança em vários aplicativos e componentes do sistema.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...