Windows 10 Drive-By RCE activado por el administrador de URI predeterminado - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Windows 10 Drive-By RCE activado por el administrador de URI predeterminado

Hola, un placer verte por aquí. Soy Eduardo Arroyo y hoy hablaremos sobre Windows 10 Drive-By RCE activado por el administrador de URI predeterminado

Windows 10 Drive-By RCE activado por el administrador de URI predeterminado

Hay una falla con la inyección de argumentos en el controlador predeterminado de Windows 10/11, dijeron los investigadores, un problema que Microsoft solo ha resuelto parcialmente.

Los investigadores descubrieron un error de ejecución remota de código (RCE) en Windows 10 a través de Internet Explorer 11 /Edge Legacy – el navegador basado en EdgeHTML que actualmente es el navegador predeterminado en las PC con Windows 10 – y Microsoft Teams.

De acuerdo a una relación publicado el martes por Positive Security, la vulnerabilidad se desencadena por la inyección de argumentos, que es un tipo de ataque que implica alterar los parámetros de entrada de una página. Puede permitir que los atacantes vean o modifiquen datos a través de la interfaz de usuario a los que normalmente no pueden acceder.

En este caso, el problema radica en el controlador de identificador uniforme de recursos (URI) de Windows 10/11 predeterminado para ms-officecmd: Microsoft Office utiliza los URI Plataforma universal de Windows (UWP) para iniciar otras aplicaciones de escritorio de Office.

Algunas de las cosas notables y no excepcionales que los actores de amenazas pueden hacer con la vulnerabilidad incluyen crear ataques de phishing altamente creíbles donde las páginas web pueden ocultar su origen o el hecho de que su contenido proviene de una página externa. problemas con la ejecución de código en Outlook; conmutadores de línea de comando para productos de Microsoft Office que permiten que los complementos se carguen al inicio, incluida la carga de complementos maliciosos de Word / Excel.

Los investigadores han estado yendo y viniendo con Microsoft sobre este tema durante meses, después de revelar inicialmente la debilidad de Microsoft en marzo. Microsoft cerró el informe inicial de Positive Security al día siguiente, basándose en lo que Positive Security llamó la creencia «defectuosa» de Microsoft de que el exploit se basa en la ingeniería social:

[…] Desafortunadamente, su informe parece depender de la ingeniería social para entregarlo, lo que no se ajusta a la definición de vulnerabilidad de seguridad. […] —Comentario de rechazo inicial de Microsoft, según Positive Security

“Solo después de nuestra apelación se reabrió el asunto y se clasificó como ‘crítico, RCE’”, según el artículo de la empresa de seguridad.

Puede ver de dónde sacó Microsoft la idea de que el exploit requería ingeniería social: en otros navegadores, un exploit requiere que la víctima acepte «un diálogo de confirmación discreto», explicaron los investigadores. Otra opción para los atacantes sería enviar una URL maliciosa a través de una aplicación de escritorio en ejecución. manejo inseguro de URLellos agregaron.

Después de cinco meses, Microsoft corrigió la falla, pero el parche no solucionó la inyección del argumento subyacente, dijo Positive Security. De hecho, los investigadores escribieron que «actualmente también está presente en Windows 11».

Un portavoz le dijo a Threatpost que, desafortunadamente, «no sabemos si / cuándo Microsoft lanzó cambios para Internet Explorer», refiriéndose a un comentario de Microsoft sobre la solución que no se implementó a través de Windows Update.

En otras palabras, no se moleste en buscar un CVE o un parche relacionado. Así es como lo explicó Microsoft, como lo expresó Positive Security:

Desafortunadamente, en este caso no hubo CVE o aviso relacionado con la relación. La mayoría de nuestros CVE se crean para explicar a los usuarios por qué se envían ciertos parches a través de Windows Update y por qué deben instalarse. Los cambios en los sitios web, las descargas a través de Defender o de la Tienda no suelen adjuntar un CVE de la misma manera. En este caso, la corrección no se realizó a través de Windows Update. —Microsoft, para una seguridad positiva

Microsoft no respondió de inmediato a la solicitud de Threatpost de comentar sobre cuándo llegaría una solución, aunque dijo en septiembre que la solución se lanzaría «en unos días».

El controlador de URI de Windows 10 tosió un error de Lickety-Split

Positive Security había establecido el límite para descubrir una vulnerabilidad de ejecución de código en un controlador URI de Windows 10 predeterminado. Solo tomó dos semanas, dijeron los investigadores, y sospechan que es «muy probable» que otros manejadores de URI de Windows personalizados también sean vulnerables.

La motivación original: mejorar el escenario de ataque malicioso de URI. En enero, los investigadores analizaron qué tan populares eran las aplicaciones de escritorio administrar URI proporcionados por el usuario. No es bueno, concluyeron, después de encontrar vulnerabilidades de ejecución de código en «la mayoría de ellos».

El drive-by de RCE de Windows 10 no es la primera vez que surgen vulnerabilidades en controladores de URI de terceros, dijeron los investigadores, señalando estos casos anteriores:

  • 2012: Un error de ejecución de código (PDF) en el protocolo de URL de Steam se descubrió que podría haber sido objeto de abusos para explotar vulnerabilidades en los juegos. Ha puesto a más de 50 millones de usuarios de la plataforma de distribución de medios y juegos Steam en riesgo de ser comprometidos a distancia.
  • 2018: A defecto de ejecución de código Se ha descubierto que afectan a las aplicaciones de Electron que registran protocolos personalizados.
  • 2018: Una vulnerabilidad de alta gravedad (PDF) en TeamViewer podría haber permitido el descifrado de contraseñas sin conexión mientras visitaba sitios maliciosos (CVE 2020-13699).

«Windows 10 viene con una gran cantidad de controladores de URI personalizados relacionados con varias características del sistema operativo u otro software de Microsoft», dijo Positive Security. Los investigadores encontraron ms-officecmd particularmente interesante «debido a su aparente complejidad», dijeron:

El esquema ms-officecmd: llamó nuestra atención de inmediato gracias a su prometedor nombre: MS Office es una suite de aplicaciones muy compleja con muchas características heredadas y una larga historia de usabilidad. Además, el esquema termina con la abreviatura de «comando», lo que sugiere una complejidad y un potencial de inyección aún mayores. – Seguridad positiva

Mientras inspeccionaban el controlador, los investigadores notaron un ejecutable llamado LocalBridge.exe que se ejecutó brevemente … pero aparentemente no hizo nada. Pero después de verificar el registro de eventos de Windows, encontraron que se desencadenó una excepción .NET JsonReaderException al abrir el URI «ms-officecmd: invalid». Al observar la forma en que el controlador de URI analizó JSON, se confirmó que «las URI tienen el potencial de hacer cosas muy complejas», explicaron los investigadores. «Estábamos decididos a averiguar exactamente qué podían hacer».

Explotar

La falla es provocada por un sitio web malicioso que «realiza una redirección de Javascript a un patrón ms-officecmd: URI», explicaron los investigadores.

Los investigadores explotaron la falla de inyección del argumento del controlador de URI para eludir una medida de seguridad en electrón – un marco de software de código abierto para desarrollar aplicaciones GUI de escritorio utilizando tecnologías web. Inyectaron un comando arbitrario del sistema operativo a través del parámetro –gpu-launcher de la aplicación Microsoft Teams Electron.

Demostraron RCE drive-by en Windows 10 a través de MS Edge en el video de prueba de concepto (PoC) a continuación.

El ms-officecmd: URI que se muestra en su video de PoC se lee así:

ms-officecmd:

«LocalProviders.LaunchOfficeAppForResult»:

«detalles»:

«AppID»: 5,

«Nombre»: «irrelevante»,

«descubierto»:

«Comando»: «irrelevante»

,

«Nombre de archivo»: «a: / b / –disable-gpu-sandbox –gpu-launcher = » C: \ Windows \ System32 \ cmd / c ping 2016843009 && «»

A continuación se muestra el «cuadro de diálogo de confirmación bastante discreto» que se muestra en navegadores distintos de IE y Microsoft Edge Legacy antes de abrir el URI malicioso.

Navegadores que muestran un cuadro de diálogo de confirmación «discreto» que falta en IE y Edge Legacy. Fuente: Seguridad positiva.

«Con la carga útil JSON extraída, finalmente pudimos abrir aplicaciones de escritorio de Office a través de ms-officecmd: URI», dijeron los investigadores. Específicamente, la carga extraída de la aplicación Office UWP podría usarse para abrir Outlook «.

Se requiere Microsoft Teams

Positive Security dijo que para que el exploit funcione, Microsoft Teams debe estar instalado pero no en ejecución. Los investigadores también compartieron detalles sobre cómo el esquema y la inyección de tópicos podrían abusarse de otras formas, «con y sin la ayuda de MS Teams».

Aquellos que quieran sumergirse directamente en los detalles técnicos sangrientos pueden consultar el informe de vulnerabilidad que Positive Security envió al Centro de Respuesta de Seguridad de Microsoft.

Positive Security dijo a Threatpost que el riesgo inmediato del exploit RCE basado en Teams se ha mitigado mediante un parche para Microsoft Teams, «para que la gente no tenga que preocuparse demasiado». Pero la inyección de temas sobrantes y otros problemas, incluidos los problemas de Outlook, «debería ser fácil de replicar con nuestros enlaces PoC proporcionados», dijo la compañía.

Después de que se publicara su informe el martes, Positive Security le dijo a Threatpost que el equipo recientemente volvió a probar una carga útil de JavaScript en Internet Explorer 11 y «parece que el navegador está fallando ahora».

Mitigaciones

En cuanto a la protección de los sistemas que esperan un parche, Positive Security ha desaconsejado el uso de Internet Explorer 11 / Edge Legacy. No es una gran pregunta, dado lo que es el navegador. ya no es compatible con Microsoft, ya no está a salvo y, en mayo de 2020, ha tenido una miserable 1,87 por ciento cuota de mercado de los navegadores.

Para otros navegadores y aplicaciones, Positive Security recomienda que no haga clic en los enlaces «ms-officecmd:». Además, evite confirmar los cuadros de diálogo que solicitan abrir el ejecutable de LocalBridge.

La compañía ofreció una serie de mitigaciones adicionales en su artículo, incluida, si es posible, la eliminación del controlador URI y una migración a controladores URI específicos de la aplicación (como «equipo:» y «ms-word:») para abrir aplicaciones.

«Hacer que el controlador de URI esté disponible solo para la aplicación Office PWA reduciría en gran medida el riesgo, si es que es posible», recomendaron los investigadores.

Hay un mar de datos no estructurados en Internet relacionados con las últimas amenazas a la seguridad. REGÍSTRESE HOY para aprender los conceptos clave del procesamiento del lenguaje natural (NLP) y cómo usarlo para navegar por el océano de datos y agregar contexto a las amenazas de ciberseguridad (¡sin ser un experto!). Esta Ayuntamiento de Threatpost interactivo y en VIVO, patrocinado por Rapid 7, contará con los investigadores de seguridad Erick Galinkin de Rapid7 e Izzy Lazerson de IntSights (una empresa de Rapid7), así como la reportera de Threatpost y presentadora de seminarios web Becky Bracken.

.

Deberías compartir en tu Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *