ClickCease Gefährdete Workstations: Enthüllung des RCE-Bugs

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Gefährdete Workstations: Enthüllung des RCE-Bugs

Wajahat Raja

25. September 2023. TuxCare-Expertenteam

Vor kurzem wurde die Welt auf eine große Sicherheitslücke in Windows Themes aufmerksam gemacht, die mit der Bezeichnung CVE-2023-38146. Diese Sicherheitslücke mit der Bezeichnung "ThemeBleed" hat einen hohen Schweregrad von 8.8 und hat aufgrund der Möglichkeit, dass Angreifer von außen bösartigen Code ausführen können, Besorgnis ausgelöst. Dieser Blog untersucht den Windows 11 RCE-Bug in vollem Umfang und gibt Aufschluss über seine Ursprünge, Auswirkungen und Maßnahmen zur Entschärfung des Windows 11 RCE-Risikos.

 

Die Geburt von ThemeBleed

 

Gabe Kirkpatrick, ein engagierter Sicherheitsforscher, entdeckte diese Windows 11-Sicherheitslücke als er sich mit ungewöhnlichen Windows-Dateitypen beschäftigte. Unter anderem befasst er sich mit den Komplexität von ".THEME"-Dateiendie hauptsächlich zur Anpassung des Erscheinungsbilds des Betriebssystems verwendet werden. Diese Dateien, die normalerweise sicher sind, enthalten Verweise auf ".msstyles"-Dateien, die nur grafische Ressourcen und keinen ausführbaren Code enthalten sollen.

Entlarvung des Windows 11 RCE-Bugs

 

Kirkpatricks scharfes Auge entdeckte eine große Unstimmigkeit, als er auf die Verwendung einer Versionsnummer, "999". Diese scheinbar harmlose Option erzeugte eine Race Condition in der Funktion, die MSSTYLES"-Dateien zuständig ist, insbesondere für die Überprüfung der Signatur einer DLL ("_vrf.dll"). Diese Schwachstelle ermöglichte es einem Angreifer, eine geprüfte DLL durch eine bösartige DLL zu ersetzen, so dass Remotecodeausführung in Windows 11.

Um die Ernsthaftigkeit dieses Fehlers zu demonstrieren kritischen Windows 11-Fehlershat Kirkpatrick einen Proof-of-Concept (PoC) Exploit der, wenn eine Design-Datei gestartet wird, sofort den Windows-Rechner öffnet. Aufgrund der "Mark-of-Web"-Warnung werden aufmerksame Benutzer beim Herunterladen von Themendateien aus dem Internet jedoch möglicherweise vor potenziellen Gefahren gewarnt. Leider kann dieser Schutzmechanismus umgangen werden, indem das Thema in eine '.THEMEPACK'-Datei eingeschlossen wird, bei der es sich einfach um ein CAB-Archiv handelt. Wenn eine solche CAB-Datei gestartet wird, umgeht das integrierte Thema die "Mark-of-the-web"-Warnung vollständig. Dies unterstreicht die Bedeutung der Windows 11-Schwachstellenabwehr Strategien.

 

Sicherheitsmaßnahmen für Windows 11-Bug


Microsoft handelte schnell und erkannte den Ernst der Lage. Sie lösten CVE-2023-38146 in ihrem September 2023
Windows 11 RCE-Patch 12. September-Update gelöst, indem die problematische "Version 999"-Funktion vollständig gelöscht wurde. Wie Kirkpatrick jedoch feststellte, besteht das grundlegende Race-Problem weiterhin. Außerdem, Microsoft Sicherheitshinweis noch nicht auf das Problem der fehlenden "Mark-of-the-web"-Warnungen in den Themepack-Dateien eingegangen.


Bewertung der Schwachstellen von Windows 11 und deren Auswirkungen


Abgesehen von den Besonderheiten dieser
Windows 11-Zero-Day-Exploitweist sie auf ein größeres Problem hin. Arbeitsstationen und Endgeräte, auf denen häufig Endbenutzersoftware und Betriebssysteme laufen, können von Angreifern genutzt werden, um Zugang zu Unternehmensnetzwerken zu erhalten. Angreifer verschaffen sich nach dem Eindringen in das Netzwerk ein internes Standbein, das es ihnen ermöglicht, Systeme zu untersuchen, die zuvor von externen Bedrohungen getrennt waren. Diese Schwachstelle im Windows-Betriebssystem unterstreicht die entscheidende Notwendigkeit von starke Sicherheitsmaßnahmen im Bereich der Cybersicherheithäufige Upgrades und die Sensibilisierung der Nutzer.


Schlussfolgerung


Die
Bedrohung der Cybersicherheit für Windows 11 ist ein deutlicher Hinweis auf die ständigen Gefahren in der wachsenden Landschaft der Cybersicherheitsbedrohungen. Der Sicherheitshinweis zu Windows 11 empfiehlt den Benutzern, die Microsoft-Sicherheitsupdates vom September 2023 so schnell wie möglich zu installieren, da sie nicht nur CVE-2023-38146 beheben, sondern auch zwei Zero-Day-Schwachstellen die gegenwärtig ausgenutzt werden.

Mit 57 weiteren Sicherheitspatches für verschiedene Anwendungen und Systemkomponenten bietet dieses Windows 11-Sicherheitsupdate ist ein wichtiger Schritt zur Stärkung des digitalen Schutzes Ihrer Systeme. In einer Zeit, in der die Grenzen zwischen online und offline immer mehr verschwimmen, sind proaktive Maßnahmen von größter Bedeutung für den Schutz vor potenziellen Fehlern hinter Sicherheitslücken wie diese Windows 11 Zero-Day-Enthüllung.

Zu den Quellen für diesen Beitrag gehören Artikel in Vulnera und BleepingComputer.

Zusammenfassung
Gefährdete Workstations: Enthüllung des RCE-Bugs
Artikel Name
Gefährdete Workstations: Enthüllung des RCE-Bugs
Beschreibung
Entdecken Sie den kritischen Windows 11 RCE-Bug, der Workstations gefährdet. Erfahren Sie, wie Sie Ihre Systeme schützen können. Bleiben Sie informiert und geschützt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter