Открывается калькулятор, когда выбираете тему? Автор эксплойта объясняет, почему это плохой знак.
Эксперт по кибербезопасности Гейб Киркпатрик Для просмотра ссылки Войдиили Зарегистрируйся код эксплойта для новой уязвимости в визуальных стилях Windows , получившей название ThemeBleed. Этот дефект позволяет злоумышленникам удаленно выполнять произвольный код на атакуемом компьютере. Microsoft уже выпустила патч, но некоторые аспекты все еще вызывают вопросы.
ThemeBleed (или CVE-2023-38146) получила оценку 8.8 по шкале опасности (CVSS). Она активируется, когда пользователь открывает специально сформированный злоумышленниками файл с расширением.THEME. Интересно, что Киркпатрик обнаружил проблему, исследуя необычные форматы файлов в Windows, которые часто используются для кастомизации интерфейса.
Если в файле с расширением .MSSTYLES указан номер версии 999, возникает задержка между проверкой цифровой подписи DLL-библиотеки и моментом её фактической загрузки в систему. Именно это временное окно может быть использовано для атаки.
Эксплойт запускает стандартный калькулятор Windows, если пользователь открывает поддельный файл темы. Это может показаться незначительным багом, но именно этот момент – идеальный для запуска произвольного кода.
Киркпатрик указывает, что на экране появляется предупреждение «mark-of-the-web», когда пользователь скачивает из интернета файл темы. Однако, если этот файл «упаковать» в формат .THEMEPACK, предупреждение показано не будет.
Microsoft удалила спорную «версию 999», но исследователь считает, что основная уязвимость , связанная с состоянием гонки, осталась нерешенной. К тому же, Microsoft не устранила проблему с отсутствием предупреждений для файлов .THEMEPACK.
Пользователям Windows советуют обновить последний пакет безопасности. Обновление устраняет не только ThemeBleed, но и две другие критические уязвимости, а также 57 вопросов безопасности в различных компонентах системы. Но даже с учетом этих мер, остается вопрос: как много других неизвестных уязвимостей ожидает своего часа?
Эксперт по кибербезопасности Гейб Киркпатрик Для просмотра ссылки Войди
ThemeBleed (или CVE-2023-38146) получила оценку 8.8 по шкале опасности (CVSS). Она активируется, когда пользователь открывает специально сформированный злоумышленниками файл с расширением.THEME. Интересно, что Киркпатрик обнаружил проблему, исследуя необычные форматы файлов в Windows, которые часто используются для кастомизации интерфейса.
Если в файле с расширением .MSSTYLES указан номер версии 999, возникает задержка между проверкой цифровой подписи DLL-библиотеки и моментом её фактической загрузки в систему. Именно это временное окно может быть использовано для атаки.
Эксплойт запускает стандартный калькулятор Windows, если пользователь открывает поддельный файл темы. Это может показаться незначительным багом, но именно этот момент – идеальный для запуска произвольного кода.
Киркпатрик указывает, что на экране появляется предупреждение «mark-of-the-web», когда пользователь скачивает из интернета файл темы. Однако, если этот файл «упаковать» в формат .THEMEPACK, предупреждение показано не будет.
Microsoft удалила спорную «версию 999», но исследователь считает, что основная уязвимость , связанная с состоянием гонки, осталась нерешенной. К тому же, Microsoft не устранила проблему с отсутствием предупреждений для файлов .THEMEPACK.
Пользователям Windows советуют обновить последний пакет безопасности. Обновление устраняет не только ThemeBleed, но и две другие критические уязвимости, а также 57 вопросов безопасности в различных компонентах системы. Но даже с учетом этих мер, остается вопрос: как много других неизвестных уязвимостей ожидает своего часа?
- Источник новости
- www.securitylab.ru