Detección del CVE-2023-38146: el bug RCE “ThemeBleed” de Windows representa riesgos crecientes con la liberación del exploit PoC
Tabla de contenidos:
El nuevo error de seguridad de Microsoft Windows Themes, rastreado como CVE-2023-38146, que permite a los atacantes realizar RCE, emerge en el ámbito de las ciberamenazas. El exploit de prueba de concepto (PoC) para esta vulnerabilidad, también conocida como «ThemeBleed», se ha lanzado recientemente en GitHub, representando una amenaza para las instancias de Windows potencialmente infectadas y captando la atención de los defensores.
Detección de CVE-2023-38146
Con un PoC de exploit públicamente disponible en la web, los adversarios centran su atención en armar la vulnerabilidad de Windows ThemeBleed permitiendo la ejecución remota de código en las instancias afectadas. Para detectar a tiempo la actividad sospechosa asociada con intentos de explotación de CVE-2023-38146, SOC Prime Platform agrega un conjunto de reglas Sigma relevantes. Todas las detecciones son compatibles con los principales formatos de tecnología SIEM, EDR, XDR y Data Lake y están alineadas con el marco MITRE ATT&CK® para agilizar los procedimientos de caza de amenazas.
Para explorar la lista completa de reglas seleccionadas y facilitar la inmersión profunda en la amenaza CVE-2023-28146, haga clic en el botón Explorar detecciones a continuación. Los profesionales de la seguridad pueden obtener un extenso contexto de ciberamenazas acompañado de referencias ATT&CK y enlaces CTI y obtener más metadatos perspicaces que coincidan con las necesidades de seguridad actuales y mejoren la investigación de amenazas.
Análisis de CVE-2023-38146
La vulnerabilidad recién descubierta de Windows Themes identificada como CVE-2023-38146, también conocida como ThemeBleed, con un alto puntaje CVSS que alcanza 8.8, puede conducir a la ejecución de código arbitrario. Con el PoC exploit ThemeBleed disponible públicamente en GitHub, la falla requiere atención inmediata para identificar la amenaza a tiempo.
El 12 de septiembre de 2023, Microsoft cubrió los detalles de los potenciales intentos de explotación de CVE-2023-38146. La cadena de infección se desencadena al cargar un archivo THEME armado en un sistema comprometido con acceso a un recurso compartido SMB controlado por el atacante.
El investigador Gabe Kirkpatrick, quien fue el primero en reportar ThemeBleed y el desarrollador del código PoC ha cubierto los detalles del ataque en profundidad. Aprovechar el número de versión “999” crea una brecha de tiempo significativa en el proceso de verificación de la firma DLL y carga de biblioteca dentro de la rutina para manejar el archivo MSSTYLES, lo que puede causar la aparición de una condición de carrera. Además, al aplicar el archivo MSSTYLES específicamente generado, los adversarios pueden explotar una ventana de carrera para aplicar un DLL malicioso en lugar de uno verificado, lo que les permite ejecutar código arbitrario en el sistema afectado. Además, el investigador agrega que descargar un archivo de tema de Windows malicioso desde la web desencadena la advertencia ‘marca de la web’, que puede notificar al usuario sobre la amenaza potencial. Sin embargo, los adversarios pueden eludir esta alerta envolviendo el tema en un archivo THEMEPACK.
Microsoft abordó las actualizaciones de seguridad para CVE-2023-38146 en el reciente Patch Tuesday de septiembre de 2023 eliminando la funcionalidad de “versión 999”. Sin embargo, Kirkpatrick señala que la condición fundamental de carrera aún existe, mientras plantea riesgos potenciales para los usuarios objetivos. Además, la ausencia de advertencias de ‘marca de la web’ para los archivos THEMEPACK aún necesita atención para evitar que los adversarios evadan las medidas de protección de seguridad.
Para mitigar la amenaza, los defensores recomiendan aplicar el paquete de actualizaciones de seguridad más reciente de Microsoft que aborda CVE-2023-38146 junto con más de 50 otros errores, eliminando la funcionalidad de “versión 999”, así como evitar la carga de recursos desde recursos compartidos remotos dentro de archivos de temas de Windows.
Navegue por SOC Prime para detectar proactivamente intentos de explotación de CVE y sea el primero en conocer las últimas TTP utilizadas por adversarios en la naturaleza. Explore inteligencia personalizada y sumérjase en el contexto completo de la amenaza con descripciones de CVE, PoC de exploit, referencias de medios y enlaces de mitigación para estar siempre un paso por delante en su investigación de amenazas.
