Eylül 2023 Yaması Salı güncellemesinde yamalı olan .themes’teki bir güvenlik açığı için bir istismar yayımlandı.
Eylül 2023 Yaması Salı güncellemelerinde ThemeBleed olarak adlandırılan bir güvenlik açığına yönelik bir düzeltme yer alıyordu. Güvenlik açığını bildirdiği kabul edilen araştırmacılardan biri olan Gabe Kirkpatrick tarafından bir Kavram Kanıtı (PoC) istismarı yayınlandı.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. ThemeBleed güvenlik açığı CVE-2023-38146 olarak listelendi: bir Windows Temaları Uzaktan Kod Yürütme (RCE) güvenlik açığı.
Microsoft, CVSS’ye 10 üzerinden 8,8 puan atadı ve buna “Önemli” önem derecesi verdi ve şunları söyledi:
“Bir saldırganın, hedeflenen kullanıcıyı, saldırgan tarafından kontrol edilen bir SMB paylaşımına erişimi olan, savunmasız bir sisteme Windows Temaları dosyası yüklemeye ikna etmesi gerekir.”
A .tema dosya bir yapılandırmadır (.Bu) Windows masaüstünde görünen görsel öğeleri belirten, bölümlere ayrılmış metin dosyası. Bölüm adları parantez içine alınır ([]) içinde .Bu dosya. A .tema dosyası belirli masaüstü öğelerinin görünümünü değiştirmenizi sağlar.
İlgili bir dosya formatı, .tema paketi, kullanıcıların temaları paylaşmasına yardımcı olmak için Windows 7 ile birlikte tanıtıldı. A .tema paketi sizinkileri içermelidir .tema dosyanın yanı sıra arka plan resmi, ekran koruyucu ve simge dosyaları da bulunur.
Temalar, Kişiselleştirme Denetim Masası’ndan yalnızca Windows 7 Home Premium veya sonraki sürümlerde ya da yalnızca Masaüstü bileşeni yüklendiğinde Windows Server 2008 R2’de seçilebilir.
ThemeBleed saldırısı, özel hazırlanmış bir pencere açılarak tetiklenebilen bir yarış durumuna dayanıyor .tema dosya. Yarış durumu veya yarış tehlikesi, çıktının diğer kontrol edilemeyen olayların sırasına veya zamanlamasına bağlı olduğu bir sistemin davranışıdır. Olaylar programcının amaçladığı sırayla gerçekleşmediğinde bu bir hata haline gelir.
.tema dosyalar referanslar içeriyor .msstyles Kod içermemesi gereken dosyalar, yalnızca onları çağıran tema dosyası açıldığında yüklenen grafik kaynaklarıdır. .theme dosyası açıldığında, .msstyles dosya da yüklenecektir.
Araştırmacı, tema versiyonunun kontrol edilmesinin çağrıldığını buldu. Gerekirse Sürümü Revize Edin işlev ve imzalı bir DLL’yi güvenli bir şekilde yüklemiyor (_vrf.dll), çünkü imza doğrulandıktan sonra DLL kapatılır ve ardından DLL, LoadLibrary çağrısı aracılığıyla yüklendiğinde yeniden açılır. Bu süre zarfında dosya, kötü amaçlı bir sürümle değiştirilebilir.
Diğer bir sorun ise, bir kullanıcının web’den bir tema indirmesi durumunda, bunun ‘web işareti’ (MOTW) uyarısını tetiklemesidir. MOTW başlangıçta bir Internet Explorer güvenlik özelliğiydi. Windows cihazlarınızın, kim bilir nereden indirilen dosyalarla etkileşimde bulunurken bir uyarı vermesini sağlayacak şekilde genişletildi. Zamanla belirli dosya türlerinin çalışmasının engellenmesine bile katkıda bulundu. Ancak saldırganın temayı bir dosyaya sarması durumunda bu durum atlanabilir. .tema paketi dosya. Kullanırken .tema paketi dosyası, içerilen .theme MOTW uyarısını sunmadan otomatik olarak açılır.
Microsoft’un düzeltmesi, yarış durumunu önlemek için tema sürüm kontrolünü tetikleyen işlevselliği kaldırsa da, doğrulama prosedüründeki daha temel sorunu çözmedi. .msstyles Dosyalar. MOTW uyarılarını da eklemedi .tema paketi Dosyalar.
Araştırmacı, güvenlik açığının yalnızca Windows 11’de mevcut göründüğünü belirtiyor.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.