To forskere fandt et problem i Windows 10 der giver mulighed for en kørsels-kodeeksekveringssårbarhed på Windows 10 via IE11/Edge Legacy og MS Teams, aktiveret af en argumentindsprøjtning i Windows 10/11 standardhandler for ms-officecmd: URI'er. I deres rapport offentliggjort på forskernes blog giver de en fuld dækning af deres resultater og tilføjede desuden original MSRC-rapport. Lukas Euler og Fabian Bräunlein afslørede den første afsløring om et problem via https://msrc.microsoft.com/ den 10. marts i år, men MS afviste det for at forklare “[..] din rapport ser ud til at stole på social engineering [..]”.
To forskere fandt en udnyttelse i Windows 10
De svarede i bloggen, at afvisningen var fejl på grund af manglende teknisk forståelse under triage. Og efter deres appel genåbnede MS spørgsmålet og tildelte det “Kritisk, RCE” klassifikation. Der er dog ikke tildelt CV eller offentliggjort. i følgende udtalelse sagde MS:
"I dette tilfælde var der desværre ingen CVE eller rådgivning knyttet til rapporten. De fleste af vores CVE'er er oprettet for at forklare brugerne, hvorfor visse patches sendes gennem Windows Update, og hvorfor de skal installeres. Ændringer af hjemmesider, downloads gennem Defender, eller gennem butikken normalt ikke få en CVE vedhæftet på samme måde".
Generelt set er sårbarheden i en standard URI-handler af Windows 10 og kan udnyttes fra forskellige applikationer. Det er, når en Windows 10 bruger enten klikker på en ondsindet “ms-officecmd:”-link i enhver applikation, vilkårlige kommandoer kan udføres på ofrets computer eller besøger et ondsindet websted med Edge. Udnyttelse gennem andre browsere gjorde det nødvendigt for ofrene at acceptere en umærkelig bekræftelsesdialog. På den anden side, en ondsindet URI kan sendes via en desktopapplikation, der kører farlig URL-håndtering. I deres indlæg påpeger forskere, at udover den direkte RCE via –gpu-starter, flere andre angrebsscenarier er mulige:
Forskningen viste mange måder, hvordan angribere kan udnytte Windows 10 RCE
Også bortset fra argumentindsprøjtningen fandt de, at de næste to angreb var mulige:
Selvom resultaterne ifølge MS Bounty-programmet kunne kvalificeres til prisen på $50k i stedet modtog de kun $5k. Virksomheden kom med et plaster efter 5 måneder, men ifølge forskernes egne ord "formåede de ikke korrekt at adressere den underliggende argumentindsprøjtning". Forskerne siger, at udnyttelsen også stadig er til stede på Windows 11 og i betragtning af hvor mange URI-handlere Windows har, kan det være muligt, at de også er sårbare.