vinduer 10 RCE: via usikker standard URI-handler

vinduer 10 RCE: via usikker standard URI-handler
RCE Windows Microsoft

To forskere fandt et problem i Windows 10 der giver mulighed for en kørsels-kodeeksekveringssårbarhed på Windows 10 via IE11/Edge Legacy og MS Teams, aktiveret af en argumentindsprøjtning i Windows 10/11 standardhandler for ms-officecmd: URI'er. I deres rapport offentliggjort på forskernes blog giver de en fuld dækning af deres resultater og tilføjede desuden original MSRC-rapport. Lukas Euler og Fabian Bräunlein afslørede den første afsløring om et problem via https://msrc.microsoft.com/ den 10. marts i år, men MS afviste det for at forklare “[..] din rapport ser ud til at stole på social engineering [..]”.

To forskere fandt en udnyttelse i Windows 10

De svarede i bloggen, at afvisningen var fejl på grund af manglende teknisk forståelse under triage. Og efter deres appel genåbnede MS spørgsmålet og tildelte det “Kritisk, RCE” klassifikation. Der er dog ikke tildelt CV eller offentliggjort. i følgende udtalelse sagde MS:

"I dette tilfælde var der desværre ingen CVE eller rådgivning knyttet til rapporten. De fleste af vores CVE'er er oprettet for at forklare brugerne, hvorfor visse patches sendes gennem Windows Update, og hvorfor de skal installeres. Ændringer af hjemmesider, downloads gennem Defender, eller gennem butikken normalt ikke få en CVE vedhæftet på samme måde".

Generelt set er sårbarheden i en standard URI-handler af Windows 10 og kan udnyttes fra forskellige applikationer. Det er, når en Windows 10 bruger enten klikker på en ondsindet “ms-officecmd:”-link i enhver applikation, vilkårlige kommandoer kan udføres på ofrets computer eller besøger et ondsindet websted med Edge. Udnyttelse gennem andre browsere gjorde det nødvendigt for ofrene at acceptere en umærkelig bekræftelsesdialog. På den anden side, en ondsindet URI kan sendes via en desktopapplikation, der kører farlig URL-håndtering. I deres indlæg påpeger forskere, at udover den direkte RCE via –gpu-starter, flere andre angrebsscenarier er mulige:

  • Injektion af applikationsspecifikke argumenter, f.eks. /l-switchen i Word for at indlæse et tilføjelsesprogram fra en UNC-sti. (mens forskerne testede, at UNC-stier modtages, de vurderede ikke effekten af ​​at indlæse ondsindede Office-tilføjelser);
  • Injektion af en –host-rules parameter for en fuld Electron MitM (tilbagetagelse af Auth-tokens og Teams-meddelelser);
  • Injektion af en –inspicere=0.0.0.0:1234 parameter for at oprette en lokal node-fejlfindingsserver med en Electron-app. En angriber i det lokale netværk kan derefter tilslutte sig porten og anvende indbygget kode (også testet af forskere med Skype som mål).

    • Forskningen viste mange måder, hvordan angribere kan udnytte Windows 10 RCE

    Også bortset fra argumentindsprøjtningen fandt de, at de næste to angreb var mulige:

  • Kørsel af Outlook med en URL i formatet C:/…/some.exe/ (yderligere skråstreg for at passere gennem AppBridge.dll-valideringen) får Outlook til at analysere linket som et lokalt fillink og omdirigere til/åbne/udføre filen. Det er det, der gør, at den kan integreres med Chromes automatiske downloadadfærd for at opnå vilkårlig kodeudførelse efter en sikkerhedsadvarsel er udstedt;
  • Hvis du kører Outlook med en web-URL som parameter, åbnes denne webside inde i Outlook, hvilket skaber potentiale for phishing-angreb.

    • Selvom resultaterne ifølge MS Bounty-programmet kunne kvalificeres til prisen på $50k i stedet modtog de kun $5k. Virksomheden kom med et plaster efter 5 måneder, men ifølge forskernes egne ord "formåede de ikke korrekt at adressere den underliggende argumentindsprøjtning". Forskerne siger, at udnyttelsen også stadig er til stede på Windows 11 og i betragtning af hvor mange URI-handlere Windows har, kan det være muligt, at de også er sårbare.

    Tags
    Foto af Andrew Nail

    Andrew Nail

    Cybersikkerhedsjournalist fra Montreal, Canada. Studerede kommunikationsvidenskab på Universite de Montreal. Jeg var ikke sikker på, om et journalistjob er det, jeg vil gøre i mit liv, men i forbindelse med tekniske videnskaber, det er præcis, hvad jeg kan lide at gøre. Mit job er at fange de mest aktuelle trends i cybersikkerhedsverdenen og hjælpe folk med at håndtere malware, de har på deres pc'er.
    Efterlad et Svar

    Efterlad et Svar

    Tilbage til toppen knap