Quelle: msrc.microsoft.com (Englisch)
Proof-of-Concept-Exploit-Code wurde für eine Windows-Themes-Schwachstelle veröffentlicht, die als CVE-2023-38146 verfolgt wird und entfernten Angreifern die Ausführung von Code ermöglicht.
Die Sicherheitslücke wird auch als ThemeBleed bezeichnet und erhielt eine hohe Schwerebewertung von 8,8. Sie kann ausgenutzt werden, wenn der Zielbenutzer eine bösartige, vom Angreifer erstellte .THEME-Datei öffnet.
Der Exploit-Code wurde von Gabe Kirkpatrick veröffentlicht, einem der Forscher, der die Schwachstelle am 15. Mai an Microsoft meldete und 5.000 US-Dollar für den Fehler erhielt.
Microsoft hat CVE-2023-38146 vor zwei Tagen mit dem September 2023 Patch Tuesday behoben.
ThemeBleed Details
Kirkpatrick fand die Schwachstelle, als er "seltsame Windows-Dateiformate" untersuchte, darunter auch .THEME-Dateien, mit denen sich das Erscheinungsbild des Betriebssystems anpassen lässt.
Diese Dateien enthalten Verweise auf '.msstyles'-Dateien, die keinen Code enthalten sollten, sondern nur grafische Ressourcen, die geladen werden, wenn die sie aufrufende Themendatei geöffnet wird.
Der Forscher stellte fest, dass bei Verwendung der Versionsnummer "999" die Routine zur Behandlung der .MSSTYLES-Datei eine große Diskrepanz zwischen dem Zeitpunkt der Überprüfung der Signatur einer DLL ("_vrf.dll") und dem Laden der Bibliothek aufweist, wodurch eine Wettlaufsituation entsteht.
Mit einer speziell präparierten .MSSTYLES-Datei kann ein Angreifer ein Wettlauffenster ausnutzen, um eine verifizierte DLL durch eine bösartige zu ersetzen und so beliebigen Code auf dem Zielrechner auszuführen.
Kirkpatrick erstellte einen PoC-Exploit, der den Windows-Rechner öffnet, wenn der Benutzer eine Theme-Datei startet.
Der Forscher merkt auch an, dass das Herunterladen einer Themadatei aus dem Internet die "Mark-of-the-web"-Warnung auslöst, die den Benutzer vor der Bedrohung warnen könnte. Dies kann jedoch umgangen werden, wenn der Angreifer das Thema in eine .THEMEPACK-Datei packt, die ein CAB-Archiv ist.
Beim Starten der CAB-Datei wird das enthaltene Theme automatisch geöffnet, ohne dass die Mark-of-the-web-Warnung angezeigt wird.
Microsoft hat das Problem behoben, indem die Funktion "Version 999" vollständig entfernt wurde. Die zugrundeliegende Race Condition bleibt jedoch bestehen, so Kirkpatrick. Darüber hinaus hat Microsoft das Fehlen von Mark-of-the-Web-Warnungen für Themepack-Dateien nicht behoben.
Windows-Nutzern wird empfohlen, das Microsoft-Sicherheitsupdate-Paket vom September 2023 so bald wie möglich zu installieren, da es zwei Zero-Day-Schwachstellen, die aktiv ausgenutzt werden, sowie weitere 57 Sicherheitsprobleme in verschiedenen Anwendungen und Systemkomponenten behebt.