Il ricercatore di sicurezza Gabriel Kirkpatrick (ex dipendente di Microsoft, ora dipendente di Google) ha scoperto una grave vulnerabilità in Windows 11. Utilizzando un file .theme
è possibile eseguire codice arbitrario sul computer tramite connessione SMB. L’azienda di Redmond ha rilasciato la patch lo scorso 12 settembre, quindi è necessario installare gli aggiornamenti recenti (sperando che vada tutto bene).
Attenzione ai temi di Windows 11
La vulnerabilità, indicata con CVE-2023-38146, viene considerata “divertente” dal ricercatore. I file .theme
permettono di modificare l’aspetto estetico del sistema operativo. Il bug è presente nei file .msstyles
, ovvero DLL che contengono le risorse grafiche (ad esempio le icone) caricate quando l’utente applica il tema.
In seguito al caricamento del file .msstyles
viene eseguita la funzione ReviseVersionIfNecessary
per verificare la versione del tema. Quest’ultima esegue diverse azioni, tra cui il controllo della firma per il file _vrf.dll
. L’implementazione è vulnerabile perché la DLL viene chiusa e successivamente caricata in memoria. Ciò causa una “race condition”.
Un malintenzionato potrebbe usare una versione modificata del file .theme
per sostituire la DLL firmata con la DLL infetta che viene caricata in memoria. Se il file viene scaricato da Internet, l’utente vedrà un avviso di sicurezza “Mark-of-the-Web”. Tuttavia è possibile aggirare la protezione inserendo il file .theme
in un file .themepack
. Essendo un file CAB non viene mostrato nessun avviso.
Il ricercatore ha pubblicato il codice del proof of concept, denominato ThemeBleed, su GitHub. Sfrutta la condivisione SMB per inviare il file infetto. Microsoft ha corretto la vulnerabilità eliminando il controllo della versione.