Détection de CVE-2023-38146 : Le bogue RCE « ThemeBleed » de Windows présente des risques croissants avec la publication de l’exploit PoC
Table des matières :
Le nouveau bug de sécurité des thèmes Microsoft Windows suivi sous le nom CVE-2023-38146, qui permet aux attaquants d’effectuer des exécutions de code à distance (RCE), émerge dans l’arène des menaces cybernétiques. La preuve de concept (PoC) de cette vulnérabilité, également connue sous le nom de « ThemeBleed », a récemment été publiée sur GitHub, posant une menace aux instances Windows potentiellement infectées et captant l’attention des défenseurs.
Détection de CVE-2023-38146
Avec une PoC exploit publiée sur le web, les adversaires se tournent vers la militarisation de la vulnérabilité Windows ThemeBleed permettant l’exécution de code à distance sur les instances affectées. Pour détecter à temps les activités suspectes associées aux tentatives d’exploitation de CVE-2023-38146, la plateforme SOC Prime agrège un ensemble de règles Sigma pertinentes. Toutes les détections sont compatibles avec les formats de technologies SIEM, EDR, XDR et Data Lake leaders et alignées avec le cadre MITRE ATT&CK® pour rationaliser les procédures de chasse aux menaces.
Pour explorer la liste complète des règles sélectionnées et faciliter l’exploration approfondie de la menace CVE-2023-28146, cliquez sur le bouton Explorer les détections ci-dessous. Les professionnels de la sécurité peuvent accéder à un contexte de menace cybernétique étendu accompagné de références ATT&CK et de liens CTI et obtenir des métadonnées plus perspicaces correspondant aux besoins actuels en matière de sécurité et renforçant l’enquête sur les menaces.
Analyse de CVE-2023-38146
La vulnérabilité nouvellement découverte des thèmes Windows identifiée sous le nom CVE-2023-38146, alias ThemeBleed, avec un score CVSS élevé atteignant 8,8, peut entraîner une exécution de code arbitraire. Avec le PoC exploit de ThemeBleed disponible publiquement sur GitHub, la faille nécessite une attention immédiate pour identifier la menace en temps opportun. publicly available on GitHub, the flaw requires immediate attention to timely identify the threat.
Le 12 septembre 2023, Microsoft a couvert les détails des potentielles tentatives d’exploitation de CVE-2023-38146. La chaîne d’infection est déclenchée en chargeant un fichier THEME armé sur un système compromis avec accès à un partage SMB contrôlé par un attaquant.
Le chercheur Gabe Kirkpatrick, qui a été le premier à signaler ThemeBleed et le développeur du code PoC, a couvert les détails d’attaque en profondeur. En tirant parti du numéro de version « 999 », un écart temporel significatif est créé dans le processus de vérification de la signature DLL et de chargement de la bibliothèque dans la routine de gestion du fichier MSSTYLES, ce qui peut entraîner l’émergence d’une condition de course. En outre, en appliquant le fichier MSSTYLES spécialement généré, les adversaires peuvent exploiter une fenêtre de course pour appliquer un DLL malveillant à la place d’un vérifié, ce qui leur permet d’exécuter du code arbitraire sur le système affecté. De plus, le chercheur ajoute que le téléchargement d’un fichier Windows Theme malveillant sur le web déclenche l’alerte ‘marque du web’, qui peut notifier un utilisateur de la menace potentielle. Cependant, les adversaires peuvent contourner cette alerte en enveloppant le thème dans un fichier archive THEMEPACK.
Microsoft a abordé les mises à jour de sécurité pour CVE-2023-38146 lors du Patch Tuesday de septembre 2023 en supprimant la fonctionnalité « version 999 ». Cependant, Kirkpatrick souligne que la condition de course fondamentale existe toujours, posant des risques potentiels pour les utilisateurs ciblés. De plus, l’absence d’alertes marque-du-web pour les fichiers THEMEPACK doit encore être abordée pour empêcher les adversaires d’échapper aux mesures de protection de sécurité.
Pour atténuer la menace, les défenseurs recommandent d’appliquer le dernier pack de mises à jour de sécurité Microsoft abordant CVE-2023-38146 ainsi que plus de 50 autres bugs, de supprimer la fonctionnalité « version 999 », ainsi que de prévenir le chargement de ressources à partir de partages distants dans les fichiers de thème Windows.
Parcourez SOC Prime pour détecter de manière proactive les tentatives d’exploitation de CVE et soyez le premier à connaître les dernières TTP utilisées par les adversaires dans la nature. Explorez une intelligence sur mesure et plongez dans le contexte complet des menaces avec la description de CVE, le PoC d’exploitation, les références médiatiques, et les liens de mitigation pour toujours être en avance dans vos recherches sur les menaces.
