ClickCease Postes de travail à risque : dévoiler le bogue RCE

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Postes de travail à risque : dévoiler le bogue RCE

Wajahat Raja

Le 25 septembre 2023 - L'équipe d'experts de TuxCare

Récemment, le monde a été informé de l'existence d'une vulnérabilité se cachant dans les thèmes Windows, désignée sous le nom de CVE-2023-38146. Cette Cette vulnérabilité, appelée "ThemeBleed", a une cote de gravité élevée de 8,8 et a suscité des inquiétudes en raison de la possibilité pour des attaquants distants d'exécuter des programmes malveillants. et a suscité des inquiétudes en raison de la possibilité pour des attaquants distants d'exécuter un code malveillant. Ce blog examine le bogue RCE de Windows 11 dans son intégralité, en faisant la lumière sur ses origines, ses répercussions et les mesures à prendre pour d'atténuer le risque de RCE Windows 11.

 

La naissance de ThemeBleed

 

Gabe Kirkpatrick, un chercheur spécialisé dans la sécurité, a découvert cette vulnérabilité de sécurité de Windows 11 en étudiant des types de fichiers Windows inhabituels. Parmi ceux-ci, il s'est penché sur les complexité des fichiers "fichiers ".THEMEqui sont largement utilisés pour personnaliser l'apparence du système d'exploitation. Ces fichiers, qui sont normalement sûrs, contiennent des références aux fichiers ".msstyles", qui sont censés ne contenir que des ressources graphiques et aucun code exécutable.

Démasquer le bogue RCE de Windows 11

 

L'œil avisé de Kirkpatrick a détecté une grande incohérence lorsqu'il a découvert l'utilisation d'un numéro de version, "999". numéro de version, "999". Cette option apparemment bénigne a généré une condition de course au sein de la fonction chargée de gérer les fichiers '.MSSTYLES', en particulier la vérification d'une DLL. chargée de gérer les fichiers '.MSSTYLES', en particulier la vérification de la signature d'une DLL ('_vrf.dll'). Cette vulnérabilité permettait à un attaquant de remplacer une DLL validée par une DLL malveillante, ce qui permettait l'exécution de code à distance sous Windows 11.

Pour démontrer la gravité de ce bogue critique de Windows 11Kirkpatrick a créé un exploit de preuve de concept (PoC) qui, lorsqu'un fichier de thème est lancé, ouvre immédiatement la calculatrice Windows. Cependant, en raison de l'avertissement "mark-of-the-web", les utilisateurs observateurs peuvent toujours être avertis des dangers potentiels lors du téléchargement de fichiers de thème sur Internet. Malheureusement, ce mécanisme de défense peut être contourné en intégrant le thème dans un fichier '.THEMEPACK', qui est simplement une archive CAB. Lorsqu'un tel fichier CAB est lancé, le thème intégré contourne complètement l'avertissement "mark-of-the-web". Cela souligne l'importance de l'importance des stratégies d'atténuation des exploits de Windows 11 de Windows 11.

 

Réponse de sécurité pour le bogue de Windows 11


Microsoft a agi rapidement, reconnaissant la gravité de la situation. Il a résolu le problème CVE-2023-38146 dans son correctif de septembre 2023
Patch RCE Windows 11 la mise à jour du 12 septembre en supprimant totalement la capacité problématique "version 999". Cependant, comme l'a souligné Kirkpatrick, le problème fondamental de la race continue d'exister. En outre, l'avis de sécurité de L'avis de sécurité de Microsoft de Microsoft n'a pas encore abordé le problème des fichiers themepack dépourvus d'avertissements "mark-of-the-web".


Évaluation de la vulnérabilité de Windows 11 et conséquences


Au-delà des spécificités de cet
exploitation du jour zéro de Windows 11il met en lumière un problème plus vaste. Les postes de travail et les terminaux, qui exécutent souvent des logiciels et des systèmes d'exploitation destinés aux utilisateurs finaux, peuvent être utilisés par des acteurs hostiles pour accéder aux réseaux d'entreprise. Les attaquants obtiennent un point d'ancrage interne après avoir été pénétrés, ce qui leur permet d'examiner des systèmes qui étaient auparavant à l'abri des menaces externes. Cette vulnérabilité du système d'exploitation Windows met en évidence le besoin crucial de de mesures de sécurité solides en matière de cybersécuritédes mises à jour fréquentes et de la sensibilisation des utilisateurs.


Conclusion


La
menace de cybersécurité pesant sur Windows 11 est un rappel brutal des dangers toujours présents dans le paysage croissant des menaces de cybersécurité. L'avis de sécurité de Windows 11 recommande aux utilisateurs d'installer dès que possible les mises à jour de sécurité de Microsoft du mois de septembre 2023, car elles ne concernent pas seulement la CVE-2023-38146, mais résolvent également deux vulnérabilités "zero-day". vulnérabilités de type "zero-day qui sont actuellement exploitées.

Avec 57 correctifs de sécurité supplémentaires pour diverses applications et composants du système, cette mise à jour de sécurité de Windows 11 est la plus récente. mise à jour de sécurité de Windows 11 est une étape importante dans le renforcement des défenses numériques de vos systèmes. À une époque où la frontière entre le monde en ligne et le monde hors ligne est de plus en plus floue, les mesures proactives sont primordiales pour se prémunir contre les bogues potentiels qui se cachent derrière les vulnérabilités comme cette Divulgation du jour zéro de Windows 11.

Les sources de cet article sont notamment des articles parus dans Vulnera et BleepingComputer.

Résumé
Postes de travail à risque : dévoiler le bogue RCE
Nom de l'article
Postes de travail à risque : dévoiler le bogue RCE
Description
Découvrez le bogue critique de Windows 11 RCE qui met les postes de travail en danger. Apprenez à protéger vos systèmes. Restez informé et protégé.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information