CVE-2023-38146 検出: PoCエクスプロイト公開によるWindows「ThemeBleed」RCEバグのリスク増大

攻撃者がRCEを行うことを可能にする、新しいMicrosoft Windows ThemesのセキュリティバグがCVE-2023-38146として追跡されており、サイバー脅威の舞台に登場します。この脆弱性のProof-of-Concept（PoC）エクスプロイトは「ThemeBleed」としても知られ、最近GitHubで公開され、感染の可能性があるWindowsインスタンスに脅威をもたらし、防御者の注目を集めています。

CVE-2023-38146の検出

ウェブ上でPoCエクスプロイトが公開されたことにより、敵対者はこのWindows ThemeBleedの脆弱性を遠隔コード実行に武器化しようと目を向けています。CVE-2023-38146のエクスプロイト試行に関連する疑わしい活動をタイムリーに検出するために、SOC Primeプラットフォームは関連するSigmaルールのセットを集約しています。すべての検出は主要なSIEM、EDR、XDR、およびデータレイクの技術フォーマットに対応し MITRE ATT&CK®フレームワーク と連携して脅威ハンティング手続きを効率化します。

キュレーションされたルールの完全なリストを探索し、CVE-2023-38146の脅威に深く入り込むには、 探す検出 下のボタンをクリックしてください。セキュリティ専門家は、ATT&CK参照とCTIリンクに伴われた広範なサイバー脅威のコンテキストに到達でき、現在のセキュリティニーズに合致する洞察に満ちたメタデータを入手し、脅威調査を強化できます。

探す検出

CVE-2023-38146の分析

新たに発見されたWindows Themesの脆弱性として知られる CVE-2023-38146、別名ThemeBleedは、高いCVSSスコア8.8を記録し、任意のコード実行につながる可能性があります。テーマブリード PoCエクスプロイト がGitHubで公開されているため、この欠陥は脅威を迅速に特定するために即時の対処が必要です。

2023年9月12日、Microsoftは潜在的な CVE-2023-38146のエクスプロイト試行の詳細をカバーしました。感染チェーンは攻撃者によって制御されているSMB共有にアクセスする改変されたTHEMEファイルをロードすることによって引き起こされます。

初めてテーマブリードを報告した研究者Gabe Kirkpatrick とPoCコードの開発者が詳細な攻撃の詳細をカバーしています。バージョン番号「999」を利用することで、MSSTYLESファイルを処理するルーチン内でDLLの署名とライブラリのロードを検証する過程に顕著な時間ギャップが生じ、競合状態が発生する可能性があります。さらに、特定のMSSTYLESファイルを適用することで、敵対者は競争状態のウィンドウを利用し、検証済みのDLLの代わりに悪意のあるDLLを適用して、影響を受けたシステムで任意のコードを実行することができます。さらに、研究者は、ウェブから悪意のあるWindows Themeファイルをダウンロードすることが「マーク・オブ・ザ・ウェブ」警告を引き起こし、ユーザーに潜在的な脅威を通知できることを追加しています。しかし、敵対者はテーマをTHEMEPACKアーカイブファイルにラップすることでこのアラートを回避できます。 and the developer of the PoC code has covered the in-depth attack details. Leveraging the version number “999” creates a significant time gap in the process of verifying the DLL signature and library load within the routine for handling the MSSTYLES file, which can cause the emergence of a race condition. Further on, by applying the specifically generated MSSTYLES file, adversaries can exploit a race window to apply malicious DLL instead of a verified one, which enables them to run arbitrary code on the impacted system. In addition, the researcher adds that downloading a malicious Windows Theme file from the web triggers the ‘mark-of-the-web’ warning, which can notify a user of the potential threat. However, adversaries can bypass this alert by wrapping the theme into a THEMEPACK archive file.

Microsoftは最近の2023年9月のパッチ火曜日でCVE-2023-38146のセキュリティアップデートに対応し、「バージョン999」機能を削除しました。ただし、Kirkpatrickは根本的な競合状態が依然として存在し、ターゲットユーザーに潜在的なリスクをもたらす可能性があると指摘しています。さらに、THEMEPACKファイルに対するマーク・オブ・ザ・ウェブ警告の欠如が、敵対者がセキュリティ保護措置を回避するのを防ぐために解決される必要があることも述べています。

脅威を軽減するために、防御者はCVE-2023-38146に対応する最新のMicrosoftセキュリティアップデートパックを適用するとともに、50+の他のバグを除去し、「バージョン999」機能を削除し、Windowsテーマファイル内のリモート共有からのリソースロードを防止することを推奨しています。

CVEエクスプロイト試行を積極的に検出するためにSOC Primeを閲覧し、 敵対者が野生で使用する最新のTTPについて最初に知りましょう。適応されたインテリジェンスを探索し、CVEの説明、PoCエクスプロイト、メディア参照、緩和リンクを含む完全な脅威のコンテキストに飛び込み、脅威研究で常に先を行くことができます。 and be the first to know about the latest TTPs used by adversaries in the wild. Explore tailored intelligence and dive into the complete threat context with CVE description, exploit PoC, media references, and mitigation links to be always ahead of the curve in your threat research.