Windows 11 : un exploit a été publié pour la faille de sécurité ThemeBleed !
Un exploit proof-of-concept a été mis en ligne pour la faille de sécurité nommée ThemeBleed que Microsoft vient de corriger dans Windows 11 et qui permet aux attaquants d'exécuter du code sur le système. Faisons le point sur cette vulnérabilité !
Au sein du Patch Tuesday de Septembre 2023 mis en ligne ce mardi 12 septembre, Microsoft a corrigé la faille de sécurité CVE-2023-38146, surnommée ThemeBleed et associée à un score CVSS de 8.8 sur 10. Elle affecte Windows et plus particulièrement le système de thèmes puisqu'elle s'exploite à l'aide d'un fichier ".THEME" malveillant spécialement conçu par un attaquant. Vous l'avez surement deviné, ce type de fichiers sert à personnaliser l'apparence du système d'exploitation grâce à un thème.
À ce sujet, le chercheur en sécurité Gabe Kirkpatrick, qui fait partie de l'équipe à l'origine de la découverte de cette vulnérabilité, a mis en ligne un exploit PoC qui montre comment exploiter cette faille de sécurité (voir sur cette page).
Quelques détails sur ThemeBleed
Le fichier .THEME intègre des références à des fichiers ".msstyles" permettant de spécifier des éléments graphiques à intégrer au thème personnalisé. Ces fichiers ne sont pas destinés à contenir du code. Les chercheurs en sécurité ont remarqué qu'en précisant "999" comme numéro de version pour la propriété PACKTHEM_VERSION, il y a un délai anormal entre le moment où la signature d'une DLL est vérifiée et le moment où cette DLL est chargée, ce qui crée ce que l'on appelle une race condition.
Cela offre une fenêtre d'action à l'attaquant pour faire en sorte que sa propre DLL malveillante soit chargée à la place de la DLL de Windows, ce qui lui permet d'exécuter du code sur la machine Windows !
Enfin, Gabe Kirkpatrick attire notre attention sur le fait que les fichiers CAB peuvent contenir un fichier de thème et bypasser le marqueur "Mark of the web" de Windows, ce qui aura pour effet de désactiver les avertissements de Windows (en principe, les fichiers en provenance d'Internet ne sont pas traités de la même façon que les fichiers locaux grâce à ce marqueur).
Comment se protéger ?
La réponse est claire : vous devez installer les nouvelles mises à jour Windows 11. C'est le seul système affecté par cette vulnérabilité, aussi bien dans sa version 21H2 que dans sa version 22H2.
Pour le moment, Microsoft a supprimé la prise en charge du numéro de version 999 pour empêcher l'exploitation de cette vulnérabilité, mais le problème lié aux fichiers CAB n'a pas été corrigé.
À ce jour, cette faille de sécurité n'est pas exploitée par les cybercriminels, mais la situation pourrait évoluer maintenant qu'elle est connue et qu'il existe un exploit PoC.
