CVE-2023-38146 Erkennung: Windows „ThemeBleed“ RCE-Schwachstelle birgt steigende Risiken mit der Veröffentlichung des PoC-Exploits
Inhaltsverzeichnis:
Der neue Microsoft Windows Themes-Sicherheitsfehler, der als CVE-2023-38146 verfolgt wird und Angreifern erlaubt, RCE auszuführen, taucht in der Cyber-Bedrohungsarena auf. Der Proof of Concept (PoC)-Exploit für diese Schwachstelle, auch bekannt als „ThemeBleed“, wurde kürzlich auf GitHub veröffentlicht und stellt eine Bedrohung für potenziell infizierte Windows-Systeme dar, wobei er die Aufmerksamkeit der Verteidiger auf sich zieht.
CVE-2023-38146-Erkennung
Mit dem öffentlich veröffentlichten PoC-Exploit im Internet richten Gegner ihre Aufmerksamkeit darauf, die Windows ThemeBleed-Schwachstelle zu waffen, die eine Remote-Code-Ausführung auf den betroffenen Instanzen ermöglicht. Um verdächtige Aktivitäten im Zusammenhang mit CVE-2023-38146-Ausbeutungsversuchen rechtzeitig zu erkennen, aggregiert SOC Prime Platform eine Reihe relevanter Sigma-Regeln. Alle Erkennungen sind mit führenden SIEM-, EDR-, XDR- und Data-Lake-Technologieformaten kompatibel und auf den MITRE ATT&CK®-Rahmen abgestimmt, um Bedrohungsjagdverfahren zu optimieren.
Um die vollständige Liste kuratierter Regeln zu erkunden und einen tiefen Einblick in die CVE-2023-28146-Bedrohung zu erhalten, klicken Sie auf den Detektionen erkunden Knopf unten. Sicherheitsexperten können umfangreichen Cyber-Bedrohungskontext mit ATT&CK-Referenzen und CTI-Links erreichen und erhalten detailliertere Metadaten, die den aktuellen Sicherheitsanforderungen entsprechen und die Bedrohungsuntersuchung verbessern.
CVE-2023-38146-Analyse
Die neu entdeckte Windows Themes-Schwachstelle, identifiziert als CVE-2023-38146, alias ThemeBleed, mit einem hohen CVSS-Wert von 8,8, kann zu einer willkürlichen Codeausführung führen. Mit dem ThemeBleed PoC-Exploit öffentlich auf GitHub verfügbar, erfordert die Schwachstelle sofortige Aufmerksamkeit, um die Bedrohung rechtzeitig zu identifizieren.
Am 12. September 2023 berücksichtigte Microsoft die Details der potenziellen CVE-2023-38146-Ausbeutungsversuche. Die Infektionskette wird durch das Laden einer waffenfähigen THEME-Datei auf einem kompromittierten System provoziert, auf das ein von Angreifern kontrolliertes SMB-Share zugreifen kann.
Der Forscher Gabe Kirkpatrick, der als erster das ThemeBleed berichtete und Entwickler des PoC-Codes, hat die Angriffsdetails umfassend dargestellt. Die Verwendung der Versionsnummer „999“ schafft eine signifikante zeitliche Lücke im Prozess der Ãœberprüfung der DLL-Signatur und des Bibliotheksladens innerhalb der Routine zur Behandlung der MSSTYLES-Datei, die das Auftreten einer Race Condition verursachen kann. Weiterhin können Gegner durch die Anwendung der spezifisch generierten MSSTYLES-Datei ein Zeitfenster nutzen, um bösartige DLLs anstelle einer verifizierten zu laden, was ihnen erlaubt, willkürlichen Code auf dem betroffenen System auszuführen. Zudem fügt der Forscher hinzu, dass das Herunterladen einer bösartigen Windows-Themen-Datei aus dem Internet die ‚Markierung-des-Webs‘-Warnung auslösen kann, die einen Benutzer über die potenzielle Bedrohung informieren kann. Allerdings können Gegner diese Warnung umgehen, indem sie das Thema in eine THEMEPACK-Archivdatei einbinden.
Microsoft hat in den aktuellen Sicherheitsupdates vom September 2023 für CVE-2023-38146 durch das Entfernen der „Version 999“-Funktionalität Sicherheitsupdates vorgenommen. Kirkpatrick weist jedoch darauf hin, dass die grundlegende Race Condition weiterhin besteht und potenzielle Risiken für gezielte Benutzer darstellt. Ebenso fehlt immer noch eine Adresse für die Markierung-des-Webs-Warnungen bei THEMEPACK-Dateien, um zu verhindern, dass Gegner Sicherheitsmaßnahmen umgehen.
Um die Bedrohung zu mildern, empfehlen Verteidiger die Anwendung des neuesten Microsoft-Sicherheitsupdate-Pakets für CVE-2023-38146 zusammen mit über 50 anderen Fehlern, das Entfernen der „Version 999“-Funktionalität sowie das Verhindern des Ladens von Ressourcen von Remote-Shares innerhalb von Windows-Themen-Dateien.
Durchsuchen Sie SOC Prime, um CVE-Ausbeutungsversuche proaktiv zu erkennen und als Erster über die neuesten in freier Wildbahn verwendeten TTPs von Gegnern informiert zu werden. Erkunden Sie maßgeschneiderte Informationen und tauchen Sie in den vollständigen Bedrohungskontext mit CVE-Beschreibung, Exploit-PoC, Medienreferenzen und Mitigationslinks ein, um in Ihrer Bedrohungsforschung immer einen Schritt voraus zu sein.
