Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk kerentanan Themes Windows yang dilacak sebagai CVE-2023-38146 yang memungkinkan penyerang jarak jauh mengeksekusi kode.
Masalah keamanan ini juga dikenal sebagai ThemeBleed, dimana itu telah diberi peringkat dengan tingkat keparahan tinggi sebesar 8,8. Masalah ini dapat dimanfaatkan oleh penyerang jika pengguna target membuka file .THEME yang berbahaya yang telah dibuat oleh penyerang.
Kode eksploitasi itu dirilis oleh Gabe Kirkpatrick, salah satu peneliti yang melaporkan kerentanan tersebut kepada Microsoft pada tanggal 15 Mei yang lalu. Sebagai penghargaan atas laporan tersebut, ia menerima $5.000 atau sekitar Rp.77 juta dari Microsoft.
Microsoft membahas CVE-2023-38146 dua hari yang lalu di Patch Selasa, 12 September 2023.
Detail ThemeBleed
Kirkpatrick menemukan kerentanan ketika ia melihat "format file Windows yang tidak lazim," termasuk format file .THEME yang digunakan untuk mengkustomisasi tampilan system operasi.
File-file ini berisi referensi ke file ".msstyles" yang harusnya hanya mengandung resource grafis dan tidak boleh mengandung kode eksekusi. Resource ini dimuat saat file tema yang memerlukan resource tersebut dibuka.
Peneliti mencatat bahwa ketika nomor versi "999" digunakan, terdapat perbedaan besar antara saat signature DLL ("_vrf.dll") diverifikasi dan saat library tersebut dimuat, yang menghasilkan kondisi perlombaan yang berpotensi berbahaya.
Dengan menggunakan file .MSSTYLES yang dibuat khusus, seorang penyerang dapat memanfaatkan kondisi perlombaan tersebut untuk menggantikan DLL yang telah diverifikasi dengan yang berbahaya, yang memungkinkan mereka untuk menjalankan kode sembarang pada sistem target.
Kirkpatrick membuat eksploitasi PoC yang menyebabkan aplikasi Calculator Windows terbuka ketika pengguna menjalankan file tema tersebut.
Peneliti juga mencatat bahwa saat mendownload file tema dari website, biasanya ada peringatan 'mark-of-the-web' yang dapat memberitahu pengguna tentang potensi ancaman. Namun, peringatan ini dapat diabaikan jika penyerang menggabungkan tema ke dalam file .THEMEPACK yang sebenarnya adalah arsip CAB.
Ketika file CAB diluncurkan, tema yang terdapat di dalamnya akan terbuka secara otomatis tanpa memberikan peringatan mark-of-the-web.
Microsoft mengatasi masalah ini dengan menghapus sepenuhnya fungsionalitas "versi 999." Namun, Kirkpatrick mencatat bahwa kondisi perlombaan mendasar masih ada. Selain itu, Microsoft tidak mengatasi masalah ketiadaan peringatan "mark-of-the-web" untuk file themepack.
Oleh karena itu, pengguna Windows disarankan untuk segera menginstal update keamanan Microsoft September 2023. Update ini krusial karena memperbaiki dua kerentanan zero-day yang saat ini sedang dimanfaatkan secara aktif oleh penyerang, serta menangani 57 masalah keamanan lainnya yang melibatkan berbagai aplikasi dan komponen sistem.
0 Comments
 telah diterbitkan untuk kerentanan Themes Windows yang dilacak sebagai CVE-2023-38146 yang memungk...&p[url]=https://whitepapernews14.blogspot.com/2023/09/themebleed-memungkinkan-penyerang.html&p[images][0]=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3rkfzWyto1RFkTjAykoAI31TuheMdRT5JPdzEpCFh_ViUftWPVli-c7NyDn9qb-esQWQ51YlGQSQwXmbq9oZ095X0XivVe0SPBdLgPB0iWGnvD_6so5Ny9ap8V6I7qMuy14si1XWz68ZnxGO247NpEGejhxKVx73kehGJx_zvUB3NVGkaKPy9RL9Ssj_w/w640-h360/ThemeBleed%20Memungkinkan%20Penyerang%20Mengeksekusi%20Kode%20di%20Windows-whitepapernews14.blogspot.webp){kind=link}