ramen 10 RCE: via onveilige standaard URI-handler

ramen 10 RCE: via onveilige standaard URI-handler
RCE Windows Microsoft

Twee onderzoekers hebben een probleem gevonden in Windows 10 dat zorgt voor een drive-by code-uitvoeringskwetsbaarheid op Windows 10 via IE11/Edge Legacy en MS Teams, geactiveerd door een argumentinjectie in de Windows 10/11 standaard handler voor ms-officecmd: URI's. In hun rapport dat op de blog van onderzoekers is gepubliceerd, geven ze een volledige dekking van hun bevindingen en voegden ze bovendien het originele MSRC-rapport toe. Lukas Euler en Fabian Bräunlein maakten de eerste onthulling over een probleem via https://msrc.microsoft.com/ op 10 maart van dit jaar, maar MS verwierp het en legde uit: “[..] uw rapport lijkt te berusten op social engineering [..]”.

Twee onderzoekers vonden een exploit in Windows 10

Ze antwoordden in de blog dat de afwijzing foutief was vanwege het gebrek aan technisch begrip tijdens triage. En na hun beroep heropende MS het probleem en wees het de “kritisch, RCE” classificatie. Er is echter geen CV toegewezen of advies gepubliceerd. In de volgende verklaring MS zei::

“Helaas was er in dit geval geen CVE of advies gekoppeld aan het rapport. De meeste van onze CVE's zijn gemaakt om gebruikers uit te leggen waarom bepaalde patches via Windows Update worden verzonden en waarom ze moeten worden geïnstalleerd. Wijzigingen in websites, downloads via Defender, of via de Store, krijg normaal gesproken niet op dezelfde manier een CVE bijgevoegd”.

Over het algemeen zit het beveiligingslek in een standaard URI-handler van Windows 10 en kan worden misbruikt vanuit verschillende toepassingen. Dat is wanneer een Windows 10 gebruiker klikt op een kwaadwillende “ms-officecmd:”-link in elke toepassing, willekeurige opdrachten kunnen worden uitgevoerd op de computer van het slachtoffer of een kwaadwillende website bezoeken met Edge. Exploitatie via andere browsers die de slachtoffers nodig hebben gemaakt om een ​​onmerkbaar bevestigingsvenster te accepteren. Anderzijds, een kwaadaardige URI kan worden verzonden via een desktoptoepassing met gevaarlijke URL-verwerking. In hun post wijzen onderzoekers erop dat naast de directe RCE via –gpu-launcher, verschillende andere aanvalsscenario's zijn mogelijk:

  • Toepassingsspecifieke argumenten injecteren, bijv. de schakeloptie /l in Word om een ​​invoegtoepassing vanaf een UNC-pad te laden. (terwijl de onderzoekers hebben getest dat UNC-paden worden ontvangen, ze hebben het effect van het laden van kwaadaardige Office-invoegtoepassingen niet beoordeeld);
  • Injecteren van een –host-rules parameter voor een volledige Electron MitM (inbeslagname van authenticatietokens en Teams-berichten);
  • Injecteren van een –inspecteren=0.0.0.0:1234 parameter om een ​​lokale node-foutopsporingsserver te maken met een Electron-app. Een aanvaller in het lokale netwerk kan dan lid worden van de poort en native code gebruiken (ook getest door onderzoekers met Skype als doelwit).

    • Het onderzoek toonde veel manieren aan waarop aanvallers Windows kunnen misbruiken 10 RCE

    Ook buiten de argumentinjectie vonden ze de volgende twee aanvallen mogelijk:

  • Outlook uitvoeren met een URL van het formaat C:/…/sommige.exe/ (extra schuine streep om door de AppBridge.dll-validatie te gaan) laat Outlook de link ontleden als een lokale bestandslink en omleiden naar/openen/uitvoeren van het bestand. Dat is de reden waarom het wordt opgenomen in het automatische downloadgedrag van Chrome om uitvoering van willekeurige code te verkrijgen nadat een beveiligingswaarschuwing is afgegeven;
  • Als u Outlook uitvoert met een web-URL als parameter, wordt deze webpagina in Outlook geopend, die potentieel creëert voor phishing-aanvallen.

    • Hoewel volgens het MS Bounty-programma de bevindingen in aanmerking konden komen voor de toekenning van $ 50k, ontvingen ze in plaats daarvan slechts $ 5k. Het bedrijf kwam daarna met een patch 5 maanden, maar volgens de eigen woorden van de onderzoekers "is het niet gelukt om de onderliggende argumentinjectie goed aan te pakken". De onderzoekers zeggen dat de exploit ook nog steeds aanwezig is op Windows 11 en gezien het aantal URI-handlers dat Windows heeft, is het mogelijk dat ze ook kwetsbaar zijn.

    Tags
    foto van Andrew Nail

    Andrew Nail

    Cybersecurity-journalist uit Montreal, Canada. Heeft communicatiewetenschappen gestudeerd aan Université de Montreal. Ik wist niet zeker of een journalistieke baan is wat ik in mijn leven wil doen, maar in combinatie met technische wetenschappen, het is precies wat ik graag doe. Het is mijn taak om de meest actuele trends in de cyberbeveiligingswereld op te vangen en mensen te helpen omgaan met malware die ze op hun pc's hebben.
    Laat een antwoord achter

    Laat een antwoord achter

    Terug naar boven knop