Windows 10 RCE: via usikker standard URI-behandler

Windows 10 RCE: via usikker standard URI-behandler
RCE Windows Microsoft

To forskere fant et problem i Windows 10 som åpner for et sikkerhetsproblem ved kjøring av kode på Windows 10 via IE11/Edge Legacy og MS Teams, aktivert av en argumentinjeksjon i Windows 10/11 standardbehandler for ms-officecmd: URIer. I rapporten publisert på forskernes blogg gir de en fullstendig omtale av funnene deres og har i tillegg lagt til en original MSRC-rapport. Lukas Euler og Fabian Bräunlein ga den første avsløringen om et problem via https://msrc.microsoft.com/ 10. mars i år, men MS avviste det for å forklare “[..] rapporten din ser ut til å være avhengig av sosial teknikk [..]”.

To forskere fant en utnyttelse i Windows 10

De svarte i bloggen at avslaget var feil på grunn av manglende teknisk forståelse under triage. Og etter appellen deres gjenåpnet MS saken og tildelte den “Kritisk, RCE” klassifisering. Ingen CV er imidlertid tildelt eller publisert rådgivende. i følgende uttalelse sa MS:

"I dette tilfellet var det dessverre ingen CVE eller rådgivende knyttet til rapporten. De fleste av våre CVE-er er laget for å forklare brukerne hvorfor visse patcher sendes gjennom Windows Update og hvorfor de bør installeres. Endringer på nettsider, nedlastinger gjennom Defender, eller gjennom butikken får normalt ikke en CVE festet på samme måte".

Generelt sett er sårbarheten i en standard URI-behandler av Windows 10 og kan utnyttes fra ulike applikasjoner. Det er når en Windows 10 bruker enten klikker på en ondsinnet “ms-officecmd:”-lenke i enhver applikasjon, vilkårlige kommandoer kan utføres på offerets datamaskin eller besøker et ondsinnet nettsted med Edge. Utnyttelse gjennom andre nettlesere gjorde det nødvendig for ofrene å akseptere en umerkelig bekreftelsesdialog. På den andre siden, en ondsinnet URI kan sendes via et skrivebordsprogram som kjører farlig URL-håndtering. I sitt innlegg påpeker forskere at foruten den direkte RCE via –gpu-starter, flere andre angrepsscenarier er mulige:

  • Injiserer applikasjonsspesifikke argumenter, f.eks. /l-bryteren i Word for å laste et tillegg fra en UNC-bane. (mens forskerne testet at UNC-baner mottas, de vurderte ikke effekten av å laste ondsinnede Office-tillegg);
  • Injiserer en –host-rules parameter for en full Electron MitM (tilbaketakelse av Auth-tokens og Teams-meldinger);
  • Injiserer en –inspisere=0.0.0.0:1234 parameter for å opprette en lokal node-feilsøkingsserver med en Electron-app. En angriper i det lokale nettverket kan deretter bli med i porten og bruke innebygd kode (også testet av forskere med Skype som mål).

    • Forskningen viste mange måter hvordan angripere kan utnytte Windows 10 RCE

    Bortsett fra argumentinjeksjonen fant de også at de neste to angrepene var mulige:

  • Kjøre Outlook med en URL i formatet C:/…/some.exe/ (ekstra skråstrek for å gå gjennom AppBridge.dll-valideringen) får Outlook til å analysere koblingen som en lokal filkobling og omdirigere til/åpne/kjøre filen. Det er det som gjør at den integreres med Chromes automatiske nedlastingsadferd for å oppnå vilkårlig kodekjøring etter at en sikkerhetsadvarsel er utstedt;
  • Å kjøre Outlook med en nettadresse som parameter åpner denne nettsiden i Outlook, som skaper potensial for phishing-angrep.

    • Selv om funnene ifølge MS Bounty-programmet kunne kvalifiseres for tildelingen av $50k i stedet mottok de bare $5k. Firmaet kom med en lapp etter 5 måneder, men ifølge forskernes egne ord "mislyktes i å rette opp den underliggende argumentinjeksjonen". Forskerne sier at utnyttelsen også fortsatt er til stede på Windows 11 og med tanke på hvor mange URI-behandlere Windows har, kan det være mulig at de også er sårbare.

    Tags
    Foto av Andrew Nail

    Andrew Nail

    Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.
    Legg igjen et svar

    Legg igjen et svar

    Tilbake til toppen-knappen