Windows 11’de Rastgele kod yürütme güvenlik açığı bulundu. Bu güvenlik açığı, Kontrol Zamanı Kullanım Süresi (TOCTOU) yarış durumu, kötü amaçlı DLL, kabin dosyaları ve Web İşareti doğrulaması.
Bu özel güvenlik açığı, Windows işletim sisteminin görünümünü değiştirmek için kullanılan ve Windows 11 tarafından desteklenen bir .theme dosyası kullanan bir tehdit aktörü tarafından istismar edilebilir. Microsoft Güvenlik Yanıt Merkezi (MSRC), bu güvenlik açığı konusunda uyarıldı.
CVE-2023-38146: Windows Temaları Rastgele Kod Yürütme
Windows 11, işletim sistemi görünümünü özelleştirmek için kullanılabilen .theme dosyalarını destekler. Temada kullanılacak simgeler, .theme dosyasında referans alınabilecek bir .msstyles dosyasında belirtilmiştir. .Theme dosyasına tıklandığında, rundll32.exe’nin yürütülmesiyle birlikte belirli komutları da yürütür.
| “C:\WINDOWS\system32\rundll32.exe” C:\WINDOWS\system32\themecpl.dll,OpenThemeAction |
Bir .theme dosyası açıldığında yürütülen komutlar (Kaynak: istismarlar.forsale)
| [VisualStyles] Yol=%SystemRoot%\resources\Themes\Aero\Aero.msstyles |
Bir .theme dosyasındaki bir .msstyles dosyasına referans verme (Kaynak: istismar.forsale)
“Sürüm 999” Kontrolü ve Kontrol Zamanı Kullanım Süresi
.msstyles dosyasının yüklenmesi sırasında uxtheme.dll dosyasındaki LoadThemeLibrary, PACKTHEM_VERSION kaynağını yükleyerek temanın sürümünü kontrol eder. Sürüm 999 olarak okunursa ReviseVersionIfNecessary çağrılır.
.msstyle dosyasına bir yol verilirse ReviseVersionIfNecessary, _vrf.dll dosyasını .msstyles dosya yoluna ekleyen yeni bir dosya yolu oluşturur. Bundan sonra _vrf.dll dosyasındaki imza doğrulanır.
Doğrulamanın ardından _vrf.dll kapatılır ve VerifyThemeVersion olarak adlandırılan DLL dosyası postası olarak yüklenir.
Bir tehdit aktörü, doğrulanan DLL’yi kötü amaçlı bir DLL ile değiştirmek ve sistemde rastgele kod yürütmek için _vrf.dll dosyasının kapatılması ve yüklenmesi arasındaki bu belirli zaman dilimini kullanabilir.
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Web İşareti Atlaması
Ayrıca internetten indirilen bir .theme dosyası, dosya üzerinde “Web İşareti” bulunması nedeniyle bir güvenlik uyarısı içerecektir ve bu, .theme dosyasının bir .themepack dosyasına yerleştirilmesiyle atlanabilir.
Bunun nedeni .themepack paketinin “Web İşareti” uyarı.
Kavramın ispatı
Bu güvenlik açığına ilişkin kavram kanıtı olarak iki bileşenden oluşan bir GitHub deposu yayımlandı: bir SMB sunucusunun çalıştırılabilir dosyası ve bir .theme dosyası.
“Microsoft’un bu soruna yönelik yayınladığı düzeltme, “sürüm 999” işlevselliğini tamamen kaldırdı. Bu, bu özel istismarın etkisini azaltsa da, .msstyles dosyalarının imzalanmasında TOCTOU sorununu hala çözmüyor. Ayrıca Microsoft, .themepack dosyalarına Web İşareti uyarıları eklemedi.” araştırmacının yazısını okur.
Buna ek olarak, bu güvenlik açığını düzeltme adımlarının yanı sıra güvenlik açığını yeniden oluşturma adımları da açıklandı. Windows 11 kullanan kuruluşların bu güvenlik açığından yararlanılmasını önlemek için adımları izlemesi gerekiyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.