CVE-2023-38146 として追跡される Windows テーマの脆弱性に対する概念実証のエクスプロイト コードが公開され、リモート攻撃者によるコードの実行が可能になります。
このセキュリティ問題は ThemeBleed とも呼ばれ、重大度の高いスコア 8.8 を受け取りました。攻撃者が作成した悪意のある .THEME ファイルをターゲット ユーザーが開くと、悪用される可能性があります。
このエクスプロイト コードは、5 月 15 日に Microsoft に脆弱性を報告し、バグに対して 5,000 ドルを受け取った研究者の 1 人である Gabe Kirkpatrick によって公開されました。
Microsoft は 2 日前、 2023 年 9 月のパッチ火曜日でCVE-2023-38146に対処しました。
テーマブリードの詳細
Kirkpatrick 氏は、「奇妙な Windows ファイル形式」を調べているときにこの脆弱性を発見しました。その 1 つは、オペレーティング システムの外観をカスタマイズするために使用されるファイルの .THEME でした。
これらのファイルには、「.msstyles」ファイルへの参照が含まれています。このファイルにはコードは含まれておらず、それらを呼び出すテーマ ファイルが開かれたときに読み込まれるグラフィック リソースのみが含まれている必要があります。
研究者は、バージョン番号「999」が使用されている場合、.MSSTYLES ファイルを処理するルーチンで、DLL (「_vrf.dll」) の署名が検証される時点とライブラリがロードされる時点との間に大きな矛盾が生じ、競合が発生することに気づきました。状態。
特別に細工された .MSSTYLES を使用すると、攻撃者はレース ウィンドウを悪用して検証済みの DLL を悪意のある DLL に置き換え、ターゲット マシン上で任意のコードを実行できるようになります。
Kirkpatrick は、ユーザーがテーマ ファイルを起動すると Windows 電卓を開くPoC エクスプロイトを作成しました。
研究者はまた、Web からテーマ ファイルをダウンロードすると「Web のマーク」警告がトリガーされ、ユーザーに脅威を警告する可能性があると指摘しています。ただし、攻撃者がテーマを CAB アーカイブである .THEMEPACK ファイルにラップすると、これがバイパスされる可能性があります。
CAB ファイルを起動すると、含まれているテーマが Web マークの警告を表示せずに自動的に開きます。
Microsoft は、「バージョン 999」機能を完全に削除することでこの問題を修正しました。しかし、根本的な競合状態は依然として残っている、とカークパトリック氏は言います。さらに、Microsoft は、テーマパック ファイルに対する Mark-of-the-Web 警告がないことについては言及しませんでした。
Windows ユーザーは、Microsoft の 2023 年 9 月セキュリティ更新パックをできるだけ早く適用することをお勧めします。このパックでは、現在悪用されている 2 つのゼロデイ脆弱性と、さまざまなアプリやシステム コンポーネントの別の 57 件のセキュリティ問題が修正されています。
Comments