Windows 11 ‘ThemeBleed’ RCE bug gets proof-of-concept exploit
2023/09/14 BleepingComputer — Windows Themes の脆弱性 CVE-2023-38146 に対する、PoC エクスプロイト・コードが公開された。このセキュリティ問題は ThemeBleed とも呼ばれ、深刻度を示す CVSS 値は 8.8 である。攻撃者により細工された悪意の “.THEME” ファイルを、ターゲット・ユーザーが開くところから悪用が始まる可能性がある。5月15日に、この脆弱性を Microsoft に報告して、報奨金 $5,000 を受け取った研究者の Gabe Kirkpatrick により、この悪用コードが公開された。一昨日の9月12日に Microsoft は、September 2023 Patch Tuesday をリリースし、この CVE-2023-38146 に対処している。
ThemeBleed の詳細
Kirkpatrick は、奇妙な Windows ファイル・フォーマットを調べているときに、この脆弱性を発見したという。そのうちの1つが、オペレーティング・システムの外観をカスタマイズするために使用される、”.THEME” ファイルである。
これらのファイルには “.msstyles” ファイルへ向けた参照が含まれている。このファイルにはコードは含まれず、テーマ・ファイルが開かれたときに読み込まれる、グラフィック・リソースのみが含まれているはずである。
この研究者は、”999″ というバージョン番号が使用されている場合に、.MSSTYLES ファイルを処理するルーチンににおいて、DLL である “_vrf.dll” の署名が検証されるタイミングと、ライブラリがロードされるタイミングとの間に大きな不一致があり、競合状態が発生することに気づいた。
特別に細工された .MSSTYLES を使用することで、この競合状態が攻撃者に悪用され、検証済みの DLL が悪意の DLL に置き換えられる可能性が生じる。
Kirkpatrick が作成した PoC エクスプロイトは、ユーザーがテーマ・ファイルを起動すると、Windows Calculator が開かれるというものだ。
さらに、彼は、Web からテーマ・ファイルをダウンロードすると、”mark-of-the-web” アラートが作動し、ユーザーに対して警告が発せられる可能性についても言及している。しかし、攻撃者によるテーマが、CAB アーカイブである .THEMEPACK ファイルでラップされると、この警告も回避される。
つまり、この CAB ファイルが起動されても、mark-of-the-web 警告は表示されず、そこに含まれているテーマが自動的に開くことになる。
Microsoft は、”version 999″ 機能を完全に削除することで、この問題を修正した。しかし Kirkpatrick は、根本的な競合状態は残っていて、テーマパック・ファイルに対する Web マーク警告の問題も対処されていないと指摘している。
Windows ユーザーに対して推奨されるのは、可能な限り早急に September 2023 Patch Tuesday セキュリティ更新パックを適用することだ。この9月の更新パックでは、悪用が活発化している2件ゼロデイ脆弱性と、各種のアプリやシステムに存在する、57件のセキュリティ問題が修正されている。
手軽に利用できる各種のテーマも、Windows の脆弱性により悪用されるという、身近に潜む脅威を知らせてくれる記事です。おそらく、このブログでも、この種の PoC エクスプロイトは初めてだと思います。よろしければ、Microsoft の September 2023 Patch Tuesday も、ご参照ください。
You must be logged in to post a comment.