Un code d’exploitation de preuve de concept a été publié pour une vulnérabilité de thèmes Windows identifiée comme CVE-2023-38146 qui permet à des attaquants distants d’exécuter du code.
Le problème de sécurité est également appelé ThemeBleed et a reçu un score de gravité élevé de 8,8. Il peut être exploité si l’utilisateur cible ouvre un fichier .THEME malveillant conçu par l’attaquant.
Le code d’exploitation a été publié par Gabe Kirkpatrick, l’un des chercheurs qui a signalé la vulnérabilité à Microsoft le 15 mai et a reçu 5 000 $ pour le bug.
Microsoft a corrigé le problème CVE-2023-38146 il y a deux jours lors du Patch Tuesday de septembre 2023.
Détails de ThemeBleed
Kirkpatrick a découvert la vulnérabilité en examinant des « formats de fichiers Windows étranges », l’un d’entre eux étant .THEME pour les fichiers utilisés pour personnaliser l’apparence du système d’exploitation.
Ces fichiers contiennent des références à des fichiers « .msstyles », qui ne doivent contenir aucun code, uniquement des ressources graphiques chargées lors de l’ouverture du fichier de thème les invoquant.
Le chercheur a remarqué que lorsqu’un numéro de version « 999 » est utilisé, la routine de gestion du fichier .MSSTYLES comporte un écart majeur entre le moment où la signature d’une DLL (« _vrf.dll ») est vérifiée et le moment où la bibliothèque se charge, créant ainsi une course condition.
À l’aide d’un .MSSTYLES spécialement conçu, un attaquant peut exploiter une fenêtre de course pour remplacer une DLL vérifiée par une DLL malveillante, lui permettant ainsi d’exécuter du code arbitraire sur la machine cible.
Kirkpatrick a créé un exploit PoC qui ouvre la calculatrice Windows lorsque l’utilisateur lance un fichier de thème.
Le chercheur note également que le téléchargement d’un fichier de thème depuis le Web déclenche l’avertissement « marque du Web », qui pourrait alerter l’utilisateur de la menace. Cependant, cela pourrait être contourné si l’attaquant encapsulait le thème dans un fichier .THEMEPACK, qui est une archive CAB.
Lors du lancement du fichier CAB, le thème contenu s’ouvre automatiquement sans afficher l’avertissement de marque du Web.
Microsoft a résolu le problème en supprimant complètement la fonctionnalité « version 999 ». Cependant, la condition de concurrence sous-jacente demeure, dit Kirkpatrick. De plus, Microsoft n’a pas corrigé l’absence d’avertissements de marque du Web pour les fichiers de packs de thèmes.
Il est recommandé aux utilisateurs de Windows d’appliquer dès que possible le pack de mises à jour de sécurité de septembre 2023 de Microsoft, car il corrige deux vulnérabilités zero-day en cours d’exploitation active et 57 autres problèmes de sécurité dans diverses applications et composants système.