ThemeBleed: кастомизация Windows может стоить жизни вашей системе

Эксперт по кибербезопасности Гейб Киркпатрик опубликовал код эксплойта для новой уязвимости в визуальных стилях Windows , получившей название ThemeBleed. Этот дефект позволяет злоумышленникам удаленно выполнять произвольный код на атакуемом компьютере. Microsoft уже выпустила патч, но некоторые аспекты все еще вызывают вопросы.

ThemeBleed (или CVE-2023-38146) получила оценку 8.8 по шкале опасности (CVSS). Она активируется, когда пользователь открывает специально сформированный злоумышленниками файл с расширением.THEME. Интересно, что Киркпатрик обнаружил проблему, исследуя необычные форматы файлов в Windows, которые часто используются для кастомизации интерфейса.

Если в файле с расширением .MSSTYLES указан номер версии 999, возникает задержка между проверкой цифровой подписи DLL-библиотеки и моментом её фактической загрузки в систему. Именно это временное окно может быть использовано для атаки.

Эксплойт запускает стандартный калькулятор Windows, если пользователь открывает поддельный файл темы. Это может показаться незначительным багом, но именно этот момент – идеальный для запуска произвольного кода.

Киркпатрик указывает, что на экране появляется предупреждение «mark-of-the-web», когда пользователь скачивает из интернета файл темы. Однако, если этот файл «упаковать» в формат .THEMEPACK, предупреждение показано не будет.

Microsoft удалила спорную «версию 999», но исследователь считает, что основная уязвимость , связанная с состоянием гонки, осталась нерешенной. К тому же, Microsoft не устранила проблему с отсутствием предупреждений для файлов .THEMEPACK.

Пользователям Windows советуют обновить последний пакет безопасности. Обновление устраняет не только ThemeBleed, но и две другие критические уязвимости, а также 57 вопросов безопасности в различных компонентах системы. Но даже с учетом этих мер, остается вопрос: как много других неизвестных уязвимостей ожидает своего часа?