Un chercheur a trouvé une vulnérabilité intéressante dans Windows 11 Themes qui pourrait permettre l'exécution de code arbitraire. Baptisée “ThemeBleed”, la vulnérabilité existait en raison de plusieurs autres problèmes qui, ensemble, permettaient des attaques par exécution de code. Microsoft a corrigé la faille à la suite du rapport de bogue.
Exploit PoC disponible pour la vulnérabilité des thèmes de Windows 11
Dans un récent billet, le chercheur en sécurité Gabe Kirkpatrick a partagé des détails sur une grave vulnérabilité de sécurité affectant Windows 11 Themes.
Comme expliqué, le chercheur a observé le problème avec les fichiers .theme qui permettent aux utilisateurs de personnaliser l'apparence de leur système d'exploitation. Ces fichiers comprennent des détails de configuration, et la vulnérabilité affectait les fichiers .msstyles qui contiennent des icônes.
Alors que ces fichiers .msstyles ne devraient inclure aucun code, le chercheur a constaté le contraire. Ainsi, l'ouverture d'un fichier .theme chargeait également le fichier .msstyles et le code.
Ensuite, le chargement du fichier .msstyles déclenche une vérification de la version du thème, et la rencontre de la version 999 appelle une autre fonction pour charger une DLL signée en toute sécurité. Cependant, en raison de la fermeture de la DLL après la vérification de la signature et du rechargement qui s'ensuit, une condition de course est apparue entre ces étapes. Un adversaire pourrait facilement remplacer la DLL vérifiée par une DLL malveillante, qui sera ensuite exécutée.
Une autre vulnérabilité affectant le fichier .theme consiste à contourner l'avertissement Mark-of-the-Web en enveloppant le thème dans un fichier d'archive .themepack cab.
Par conséquent, l'enchaînement de ces vulnérabilités permet à un adversaire d'inciter les victimes à exécuter des fichiers .theme malveillants. Une fois cela fait, l'attaquant pouvait exécuter du code sur l'appareil cible sans corruption de la mémoire.
Le chercheur a partagé l'exploit PoC pour cette faille sur GitHub, confirmant que le problème affecte généralement Windows 11.
À la suite de cette découverte, Kirkpatrick a signalé le problème à Microsoft en mai 2023. Le géant de la technologie a reconnu la vulnérabilité et a récompensé le chercheur avec une prime de 5000 $.
En outre, Microsoft a qualifié cette faille (CVE-2023-38146) de problème de gravité important, publiant le correctif avec les mises à jour du Patch Tuesday de septembre.
Fais-nous part de tes réflexions dans les commentaires.
