janelas 10 RCE: via manipulador URI padrão inseguro

Dois pesquisadores encontraram um problema no Windows 10 que permite uma vulnerabilidade de execução de código drive-by no Windows 10 via IE11 / Edge Legacy e MS Teams, ativado por uma injeção de argumento no Windows 10/11 manipulador padrão para ms-officecmd: URIs. Em seu relatório publicado no blog dos pesquisadores, eles fornecem uma capa completa de suas descobertas e, além disso, adicionam o relatório original do MSRC. Lukas Euler e Fabian Bräunlein fizeram a divulgação inicial sobre um problema via https://msrc.microsoft.com/ on 10th of March this year but MS rejected it explaining “[..] seu relatório parece depender de engenharia social [..]”.

Dois pesquisadores encontraram um exploit no Windows 10

Eles responderam no blog que a rejeição foi errônea devido à falta de conhecimento técnico durante a triagem. And after their appeal MS reopened the issue and assigned it the “Critical, RCE” classification. No entanto, nenhum CV foi atribuído ou comunicado publicado. No declaração seguinte MS disse:

“Infelizmente, neste caso, não houve CVE ou aconselhamento vinculado ao relatório. A maioria de nossos CVEs é criada para explicar aos usuários por que certos patches são enviados por meio do Windows Update e por que devem ser instalados. Mudanças em sites, downloads através do Defender, ou através da Loja normalmente não obtêm um CVE anexado da mesma forma ”.

De um modo geral, a vulnerabilidade está em um manipulador de URI padrão do Windows 10 e pode ser explorado a partir de vários aplicativos. É quando um Windows 10 user either clicks on a malicious “ms-officecmd:”-link in any application, comandos arbitrários podem ser executados no computador da vítima ou visitar um site malicioso com o Edge. A exploração através de outros navegadores é necessária para que as vítimas aceitem uma caixa de diálogo de confirmação imperceptível. Por outro lado, um URI malicioso pode ser enviado através de um aplicativo de desktop executando o tratamento de URL perigoso. In their post researchers point out that besides the direct RCE via –gpu-launcher, vários outros cenários de ataque são possíveis:

A pesquisa mostrou muitas maneiras como os invasores podem explorar o Windows 10 RCE

Além da injeção de argumento, eles descobriram que os próximos dois ataques eram possíveis:

Embora, de acordo com o programa MS Bounty, os resultados pudessem ser qualificados para o prêmio de $ 50k, em vez disso, eles receberam apenas $ 5k. A empresa surgiu com um patch depois 5 meses, mas de acordo com as próprias palavras dos pesquisadores "falhou em abordar adequadamente a injeção de argumento subjacente". Os pesquisadores afirmam que o exploit ainda está presente no Windows 11 e considerando quantos manipuladores de URI o Windows tem, pode ser possível que eles também sejam vulneráveis.