janelas 10 RCE: via manipulador URI padrão inseguro

janelas 10 RCE: via manipulador URI padrão inseguro
RCE WindowsMicrosoft

Dois pesquisadores encontraram um problema no Windows 10 que permite uma vulnerabilidade de execução de código drive-by no Windows 10 via IE11 / Edge Legacy e MS Teams, ativado por uma injeção de argumento no Windows 10/11 manipulador padrão para ms-officecmd: URIs. Em seu relatório publicado no blog dos pesquisadores, eles fornecem uma capa completa de suas descobertas e, além disso, adicionam o relatório original do MSRC. Lukas Euler e Fabian Bräunlein fizeram a divulgação inicial sobre um problema via https://msrc.microsoft.com/ em 10 de março deste ano, mas a MS rejeitou explicando “[..] seu relatório parece depender de engenharia social [..]”.

Dois pesquisadores encontraram um exploit no Windows 10

Eles responderam no blog que a rejeição foi errônea devido à falta de conhecimento técnico durante a triagem. E após o seu recurso, a MS reabriu o problema e atribuiu-lhe o “Crítico, RCE” classificação. No entanto, nenhum CV foi atribuído ou comunicado publicado. No declaração seguinte MS disse:

“Infelizmente, neste caso, não houve CVE ou aconselhamento vinculado ao relatório. A maioria de nossos CVEs é criada para explicar aos usuários por que certos patches são enviados por meio do Windows Update e por que devem ser instalados. Mudanças em sites, downloads através do Defender, ou através da Loja normalmente não obtêm um CVE anexado da mesma forma ”.

De um modo geral, a vulnerabilidade está em um manipulador de URI padrão do Windows 10 e pode ser explorado a partir de vários aplicativos. É quando um Windows 10 o usuário clica em um arquivo malicioso “ms-officecmd:”-link em qualquer aplicativo, comandos arbitrários podem ser executados no computador da vítima ou visitar um site malicioso com o Edge. A exploração através de outros navegadores é necessária para que as vítimas aceitem uma caixa de diálogo de confirmação imperceptível. Por outro lado, um URI malicioso pode ser enviado através de um aplicativo de desktop executando o tratamento de URL perigoso. Em sua pós os pesquisadores apontam que além do RCE direto via –gpu-launcher, vários outros cenários de ataque são possíveis:

  • Injetando argumentos específicos do aplicativo, por exemplo. a opção / l no Word para carregar um suplemento de um caminho UNC. (enquanto os pesquisadores testaram se os caminhos UNC são recebidos, eles não avaliaram o efeito de carregar suplementos maliciosos do Office);
  • Injetando um –parâmetro de regras de host para um Electron MitM completo (retomada de tokens de autenticação e mensagens de equipes);
  • Injetando um –inspecionar = 0.0.0.0:1234 parâmetro para criar um servidor de depuração de nó local com um aplicativo Electron. Um invasor na rede local pode então ingressar na porta e empregar código nativo (também testado por pesquisadores com o Skype como alvo).

    • A pesquisa mostrou muitas maneiras como os invasores podem explorar o Windows 10 RCE

    Além da injeção de argumento, eles descobriram que os próximos dois ataques eram possíveis:

  • Executando o Outlook com um URL no formato C:/…/some.exe / (barra adicional para passar pela validação do AppBridge.dll) faz com que o Outlook analise o link como um link de arquivo local e redirecione para / abra / execute o arquivo. Isso é o que o faz ser incorporado ao comportamento de download automático do Chrome para obter a execução arbitrária de código depois que um aviso de segurança é emitido;
  • Executar o Outlook com um URL da web como parâmetro abre esta página da web dentro do Outlook, que cria potencial para ataques de phishing.

    • Embora, de acordo com o programa MS Bounty, os resultados pudessem ser qualificados para o prêmio de $ 50k, em vez disso, eles receberam apenas $ 5k. A empresa surgiu com um patch depois 5 meses, mas de acordo com as próprias palavras dos pesquisadores "falhou em abordar adequadamente a injeção de argumento subjacente". Os pesquisadores afirmam que o exploit ainda está presente no Windows 11 e considerando quantos manipuladores de URI o Windows tem, pode ser possível que eles também sejam vulneráveis.

    Tag
    Foto de Andrew Nail

    Andrew Nail

    Jornalista de segurança cibernética de Montreal, Canadá. Estudou ciências da comunicação na Universite de Montreal. Eu não tinha certeza se um trabalho de jornalista é o que eu quero fazer na minha vida, mas em conjunto com as ciências técnicas, é exatamente o que eu gosto de fazer. Meu trabalho é identificar as tendências mais atuais no mundo da segurança cibernética e ajudar as pessoas a lidar com o malware que têm em seus PCs.
    Deixa um comentário

    Deixe uma resposta

    Botão Voltar ao Topo