Windows 11’de ‘ThemeBleed’ olarak adlandırılan bir RCE (Uzaktan Kod Çalıştırma) güvenlik açığına yönelik PoC kodu yayınlandı.
Bu güvenlik açığı, hedef kullanıcının saldırgan tarafından hazırlanan .THEME dosyasını açtığında aktif hale geliyor. Saldırı kodu, güvenlik açığını Microsoft’a 15 Mayıs’ta bildiren araştırmacılardan biri olan Gabe Kirkpatrick tarafından yayınlandı. Microsoft, CVE-2023-38146 olarak takip edilen zafiyet için bu ay güncelleme yayınlandı.
ThemeBleed Detayları
Kirkpatrick, windows dosya uzantılarını incelerken bu zafiyeti buldu . THEME dosyaları işletim sisteminin görünümünü özelleştirmek için kullanılan dosyalar. Araştırmacı, sürüm numarası olarak “999” kullanıldığında, .MSSTYLES dosyasını işleme rutini ile bir DLL’nin (“_vrf.dll”) imzasının doğrulandığı ve kütüphanenin yüklenmesi arasında büyük bir uyumsuzluk olduğunu fark etti. Özel olarak oluşturulmuş bir .MSSTYLES kullanarak doğrulanmış bir DLL’yi kötü niyetli bir DLL ile değiştirerek hedef makinede RCE yapılmasına izin verdiğini tespit etti. Kirkpatrick, kullanıcı bir tema dosyasını açtığında windows Hesap Makinesi’ni açan bir PoC saldırı oluşturdu.
Araştırmacı ayrıca bir temayı web’den indirmenin ‘mark-of-the-web’ uyarısını tetiklediğini, bu durumun kullanıcıyı tehdit hakkında uyarabileceğini belirtiyor. Bununla birlikte, saldırganın temayı bir .THEMEPACK dosyasına eklediğinde bu uyarıyı atlayabileceğini, çünkü .THEMEPACK dosyasının bir CAB arşivi olduğunu söylüyor. CAB dosyasını başlattığınızda, içerdiği tema, mark-of-the-web uyarısı vermeden otomatik olarak açılıyor. Microsoft, “sürüm 999” işlevini tamamen kaldırarak sorunu düzeltti. Ancak, temepack dosyaları için mark-of-the-web uyarılarının eksikliğini ele almadı.
Windows kullanıcıları, Microsoft’un Eylül 2023 güvenlik güncellemelerini en kısa sürede uygulamaları önerilmektedir.
Kaynak: bleepingcomputer.com