点击一下,即可在 Windows 10 实现路过式远程代码执行,未修复
编译:代码卫士
Windows 10 中存在一个路过式远程代码执行漏洞,只需点击一个恶意URL即可使攻击者完全访问受害者的文件和数据。
该漏洞是存在于 Windows 10/11 ms-officecmd:URIs 默认句柄中的一个参数注入漏洞,位于通过 IE 11/Edge Legacy 浏览器和 Microsoft Teams 访问的 Windows 10 中。
虽然微软之后发布补丁,但研究人员表示补丁是在漏洞提交5个月之后发布的,且“未能正确地处理底层的参数注入漏洞,该漏洞目前仍然位于 Windows 11 中。”
Windows 内部使用 ms-officecmd:URIs 启动多项微软计划。
Positive Security公司的研究员发布文章指出,可以构造一个URL,而当用户点击时就会在启动 Microsoft Teams 的同时执行恶意命令。之后结合 IE 11/Edge Legacy 中的一个漏洞,访问恶意网站即可触发该 exploit。
研究人员还提醒称,目前该漏洞仍然存在于操作系统中。
安全研究员 Fabian Bräunlein 表示,“首先,攻击者或者访问 IE11/Edge Legacy 中的恶意网站或点击另外一个浏览器或桌面应用程序中的恶意链接,之后该链接被转到 LocalBride.exe,后者将一部分链接作为参数,运行多个Office可执行文件。研究人员发现可注入其它参数,从而以额外的 --gpu-launcher 参数(随后由 Electron 解释)触发启动 Microsoft Teams,最终实现代码执行。“
如通过其它浏览器实施利用,则要求受害者接受一个不起眼的确认对话。
或者,也可通过一个执行不安全URL处理的桌面应用程序交付恶意 URI。然而,该 exploit 的前提是安装但不运行 Microsoft Teams。Bräunlein 指出,团队在今年年初开展研究后找到了该漏洞,当时他们调查了不同流行桌面应用程序如何通过非标准的URI计划处理URL,并在其中几个URL中发现了一些漏洞。
Bräunlein 解释称,“为了在 Windows 上展示利用情况,我们基本使用了和文件相关的计划,以及托管在可从互联网访问的文件共享上托管的可执行文件/jar 文件。这些payload 或者要求安装 Java 或要求证实用于运行可执行文件的对话。我们想通过在 Windows 预装的 URI 句柄中的一个代码执行漏洞,改进基于恶意URL的攻击场景。”
当研究员报告该漏洞时,微软指出由于攻击属于社工,因此不满足获得漏洞奖励的条件,但Positive Security 公司指出微软“错过了整个漏洞并完全放弃”。经过长时间的拉锯战之后,研究员获得了5000美元的奖励,但Positive Security 公司认为这一奖励太少,仅相当于最多奖励的10%。更多技术详情可参见博客原文。
研究人员表示,虽然 PoC 已不再起作用,但该参数注入漏洞尚未被修复。
从研究员公开的时间线来看,微软曾在2021年9月16日表示将“在几天后”推出补丁,但研究人员表示底层的参数注入漏洞本身仍未修复。
微软尚未就此事置评。
微软发布紧急更新,修复了多个 Windows Server 身份验证问题
黑客利用微软 MSHTML漏洞窃取谷歌和Instagram 凭据
https://portswigger.net/daily-swig/drive-by-rce-in-windows-10-can-be-executed-with-a-single-click
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。