Windows 10 RCE: über unsicheren Standard-URI-Handler

Windows 10 RCE: über unsicheren Standard-URI-Handler
RCE Windows Microsoft

Zwei Forscher fanden ein Problem in Windows 10 die eine Drive-by-Codeausführungs-Schwachstelle unter Windows ermöglicht 10 über IE11/Edge Legacy und MS Teams, aktiviert durch eine Argumentinjektion im Windows 10/11 Standardhandler für ms-officecmd: URIs. In ihrem auf dem Blog der Forscher veröffentlichten Bericht bieten sie eine vollständige Abdeckung ihrer Ergebnisse und fügten zusätzlich den Original-MSRC-Bericht hinzu. Lukas Euler und Fabian Bräunlein machten die erste Offenlegung zu einem Thema über https://msrc.microsoft.com/ am 10. März dieses Jahres, aber MS lehnte dies mit einer Erklärung ab “[..] Ihr Bericht scheint auf Social Engineering zu beruhen [..]”.

Zwei Forscher fanden einen Exploit in Windows 10

Sie haben im Blog entgegnet, dass es sich bei der Ablehnung um einen Fehler aufgrund des mangelnden technischen Verständnisses bei der Triage gehandelt habe. Und nach ihrem Einspruch hat MS das Thema wieder geöffnet und ihm die “Kritisch, RCE” Einstufung. Es wurde jedoch kein Lebenslauf zugewiesen oder ein Hinweis veröffentlicht. In dem folgende Erklärung MS sagte:

„Leider war in diesem Fall kein CVE oder keine Empfehlung an den Bericht gebunden. Die meisten unserer CVEs werden erstellt, um Benutzern zu erklären, warum bestimmte Patches über Windows Update gesendet werden und warum sie installiert werden sollten. Änderungen an Websites, Downloads über Defender, oder über den Store erhalten Sie normalerweise kein CVE auf die gleiche Weise.“.

Im Allgemeinen liegt die Schwachstelle in einem Standard-URI-Handler von Windows 10 und kann von verschiedenen Anwendungen genutzt werden. Das ist, wenn ein Windows 10 Benutzer klickt entweder auf ein bösartiges “ms-officecmd:”-Link in jeder Anwendung, willkürliche Befehle können auf dem Computer des Opfers ausgeführt werden oder mit Edge eine bösartige Website besuchen. Die Ausnutzung durch andere Browser machte es den Opfern notwendig, einen unbemerkten Bestätigungsdialog zu akzeptieren. Auf der anderen Seite, ein bösartiger URI könnte über eine Desktop-Anwendung gesendet werden, die eine gefährliche URL-Behandlung ausführt. In ihrem Beitrag weisen die Forscher darauf hin, dass neben der direkten RCE über –GPU-Launcher, mehrere andere Angriffsszenarien sind möglich:

  • Einfügen anwendungsspezifischer Argumente, z.B. die /l-Option in Word, um ein Add-In aus einem UNC-Pfad zu laden. (während die Forscher testeten, dass UNC-Pfade empfangen werden, Sie haben die Auswirkungen des Ladens bösartiger Office-Add-Ins nicht bewertet);
  • Injektion von a –host-rules-Parameter für ein vollständiges Electron MitM (Wiederinbesitznahme von Auth-Token und Teams-Nachrichten);
  • Injektion von a –inspizieren=0.0.0.0:1234 Parameter zum Erstellen eines lokalen Knoten-Debugging-Servers mit einer Electron-App. Ein Angreifer im lokalen Netzwerk kann dann dem Port beitreten und nativen Code einsetzen (auch von Forschern mit Skype als Ziel getestet).

    • Die Untersuchung zeigte viele Möglichkeiten, wie Angreifer Windows ausnutzen können 10 RCE

    Auch abgesehen von der Argumentspritze hielten sie die nächsten beiden Angriffe für möglich:

  • Ausführen von Outlook mit einer URL im Format C:/…/einige.exe/ (zusätzlicher Schrägstrich zum Durchlaufen der AppBridge.dll-Validierung) lässt Outlook den Link als lokalen Dateilink analysieren und an die Datei weiterleiten/öffnen/ausführen. Aus diesem Grund kann es in das automatische Download-Verhalten von Chrome integriert werden, um nach einer Sicherheitswarnung die Ausführung willkürlichen Codes zu erreichen;
  • Wenn Sie Outlook mit einer Web-URL als Parameter ausführen, wird diese Webseite in Outlook geöffnet, was die Möglichkeit für Phishing-Angriffe schafft.

    • Obwohl die Ergebnisse gemäß dem MS Bounty-Programm für die Auszeichnung von 50.000 USD qualifiziert werden könnten, erhielten sie stattdessen nur 5.000 USD. Das Unternehmen kam mit einem Patch nach 5 Monate, aber nach eigenen Worten der Forscher „die zugrunde liegende Argumentinjektion nicht richtig angegangen“. Die Forscher sagen, dass der Exploit auch unter Windows noch vorhanden ist 11 Und wenn man bedenkt, wie viele URI-Handler Windows hat, ist es möglich, dass sie auch anfällig sind.

    Schlagwörter
    Bild von Andrew Nagel

    Andrew Nagel

    Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.
    Hinterlasse eine Antwort

    Hinterlasse eine Antwort

    Schaltfläche "Zurück zum Anfang"