To forskere fant et problem i Windows 10 som åpner for et sikkerhetsproblem ved kjøring av kode på Windows 10 via IE11/Edge Legacy og MS Teams, aktivert av en argumentinjeksjon i Windows 10/11 standardbehandler for ms-officecmd: URIer. I rapporten publisert på forskernes blogg gir de en fullstendig omtale av funnene deres og har i tillegg lagt til en original MSRC-rapport. Lukas Euler og Fabian Bräunlein ga den første avsløringen om et problem via https://msrc.microsoft.com/ 10. mars i år, men MS avviste det for å forklare “[..] rapporten din ser ut til å være avhengig av sosial teknikk [..]”.
To forskere fant en utnyttelse i Windows 10
De svarte i bloggen at avslaget var feil på grunn av manglende teknisk forståelse under triage. Og etter appellen deres gjenåpnet MS saken og tildelte den “Kritisk, RCE” klassifisering. Ingen CV er imidlertid tildelt eller publisert rådgivende. i følgende uttalelse sa MS:
"I dette tilfellet var det dessverre ingen CVE eller rådgivende knyttet til rapporten. De fleste av våre CVE-er er laget for å forklare brukerne hvorfor visse patcher sendes gjennom Windows Update og hvorfor de bør installeres. Endringer på nettsider, nedlastinger gjennom Defender, eller gjennom butikken får normalt ikke en CVE festet på samme måte".
Generelt sett er sårbarheten i en standard URI-behandler av Windows 10 og kan utnyttes fra ulike applikasjoner. Det er når en Windows 10 bruker enten klikker på en ondsinnet “ms-officecmd:”-lenke i enhver applikasjon, vilkårlige kommandoer kan utføres på offerets datamaskin eller besøker et ondsinnet nettsted med Edge. Utnyttelse gjennom andre nettlesere gjorde det nødvendig for ofrene å akseptere en umerkelig bekreftelsesdialog. På den andre siden, en ondsinnet URI kan sendes via et skrivebordsprogram som kjører farlig URL-håndtering. I sitt innlegg påpeker forskere at foruten den direkte RCE via –gpu-starter, flere andre angrepsscenarier er mulige:
Forskningen viste mange måter hvordan angripere kan utnytte Windows 10 RCE
Bortsett fra argumentinjeksjonen fant de også at de neste to angrepene var mulige:
Selv om funnene ifølge MS Bounty-programmet kunne kvalifiseres for tildelingen av $50k i stedet mottok de bare $5k. Firmaet kom med en lapp etter 5 måneder, men ifølge forskernes egne ord "mislyktes i å rette opp den underliggende argumentinjeksjonen". Forskerne sier at utnyttelsen også fortsatt er til stede på Windows 11 og med tanke på hvor mange URI-behandlere Windows har, kan det være mulig at de også er sårbare.