ClickCease Estaciones de trabajo en peligro: desvelando el fallo RCE

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Estaciones de trabajo en peligro: desvelando el fallo RCE

Wajahat Raja

25 de septiembre de 2023 - Equipo de expertos TuxCare

Recientemente, el mundo se dio cuenta de una importante vulnerabilidad que acecha en los temas de Windows, etiquetada como CVE-2023-38146. Esta vulnerabilidad Esta vulnerabilidad, denominada "ThemeBleed", tiene un nivel de gravedad de 8,8 y ha despertado preocupación debido a la posibilidad de que atacantes remotos ejecuten código malicioso. Este blog investiga el fallo RCE de Windows 11 en su totalidad, ofreciendo luz sobre sus orígenes, repercusiones y medidas para mitigar el riesgo de Windows 11 RCE.

 

El nacimiento de ThemeBleed

 

Gabe Kirkpatrick, un dedicado investigador de seguridad, descubrió esta vulnerabilidad de seguridad de Windows 11 mientras investigaba tipos de archivos inusuales de Windows. Entre ellos, profundiza en las complejidades de los archivos "archivos ".THEMEque se utilizan en gran medida para personalizar la apariencia del sistema operativo. Estos archivos, que normalmente son seguros, contienen referencias a archivos ".msstyles", que están pensados para contener sólo recursos gráficos y ningún código ejecutable.

Desenmascarando el error RCE de Windows 11

 

El buen ojo de Kirkpatrick detectó una gran incoherencia cuando se topó con el uso de un número de versión, "999". Esta opción aparentemente benigna generaba una race condition dentro de la función encargada de encargada de manejar los archivos '.MSSTYLES', concretamente la verificación de la firma de una DLL ('_vrf.dll'). Esta vulnerabilidad ofrecía la posibilidad a un atacante de sustituir una DLL validada por otra maliciosa, permitiendo la ejecución remota de código en Windows 11.

Para demostrar la gravedad de este error crítico de Windows 11Kirkpatrick creó un exploit de prueba de concepto (PoC) que, cuando se lanza un archivo de tema, abre inmediatamente la Calculadora de Windows. Sin embargo, debido a la advertencia de "marca de la web", los usuarios observadores todavía pueden ser advertidos de los peligros potenciales al descargar archivos de temas de Internet. Lamentablemente, este mecanismo de defensa puede eludirse incluyendo el tema en un archivo '.THEMEPACK', que no es más que un archivo CAB. Cuando se ejecuta un archivo CAB de este tipo, el tema integrado elude por completo la advertencia de "marca de la web". Esto pone de relieve la importancia de mitigación de exploits de Windows 11 de Windows 11.

 

Respuesta de seguridad al fallo de Windows 11


Microsoft actuó rápidamente, reconociendo la gravedad de la situación. Resolvieron CVE-2023-38146 en su parche de septiembre de 2023
parche RCE de Windows 11 actualización del 12 de septiembre, eliminando totalmente la problemática capacidad de la "versión 999". Sin embargo, como señaló Kirkpatrick, el problema de carrera fundamental sigue existiendo. Además, el aviso de seguridad de Microsoft aún no ha abordado el problema de los archivos themepack que carecen de advertencias de "marca de la web".


Evaluación de vulnerabilidades e implicaciones de Windows 11


Más allá de los detalles de este
exploit de día cero de Windows 11pone de relieve un problema mayor. Las estaciones de trabajo y los puestos finales, que suelen ejecutar software y sistemas operativos de usuario final, pueden ser utilizados por agentes hostiles para acceder a las redes corporativas. Los atacantes obtienen un punto de apoyo interno tras ser penetrados, lo que les permite examinar sistemas que antes estaban separados de las amenazas externas. Este vulnerabilidad del sistema operativo Windows pone de relieve la necesidad crucial de fuertes medidas de seguridad cibernéticaactualizaciones frecuentes y concienciación de los usuarios.


Conclusión


La
amenaza de ciberseguridad a Windows 11 es un claro recordatorio de los peligros siempre presentes en el creciente panorama de las amenazas a la ciberseguridad. El aviso de seguridad de Windows 11 recomienda a los usuarios que instalen las actualizaciones de seguridad de Microsoft de septiembre de 2023 lo antes posible, ya que no sólo abordan CVE-2023-38146, sino que también resuelven dos vulnerabilidades de día cero que están siendo explotadas en la actualidad.

Con 57 parches de seguridad más para varias aplicaciones y componentes del sistema, esta actualización de seguridad de Windows 11 es un paso importante para reforzar las defensas digitales de sus sistemas. En una era en la que la línea que separa lo online de lo offline es cada vez más difusa, las medidas proactivas son primordiales para protegerse contra posibles errores detrás de vulnerabilidades como esta Revelación del día cero de Windows 11.

Las fuentes de este artículo incluyen artículos en Vulnera y BleepingComputer.

Resumen
Estaciones de trabajo en peligro: desvelando el fallo RCE
Nombre del artículo
Estaciones de trabajo en peligro: desvelando el fallo RCE
Descripción
Descubra el error crítico RCE de Windows 11 que pone en peligro las estaciones de trabajo. Aprenda a proteger sus sistemas. Manténgase informado y protegido.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín