Esta vulnerabilidad de Windows 10 puede ser explotada a través de Internet Explorer y Edge
Investigadores han descubierto una vulnerabilidad de ejecución remota de código (RCE) en Windows 10. La vulnerabilidad puede ser explotada a través de Internet Explorer 11/Edge Legacy, el navegador basado en EdgeHTML que actualmente es el navegador predeterminado en las PCs con Windows 10, y Microsoft Teams.
Según un informe publicado por Positive Security, la vulnerabilidad se desencadena por una inyección de argumentos. Este es un tipo de ataque que implica alterar los parámetros de entrada de una página. Puede permitir que los atacantes vean o modifiquen datos a través de la interfaz de usuario a los que normalmente no pueden acceder.
En este caso, el problema radica en el controlador de identificador uniforme de recursos (URI) predeterminado de Windows 10/11 para ms-officecmd. La aplicación Microsoft Office Universal Windows Platform (UWP) utiliza los URIs para iniciar otras aplicaciones de escritorio de Office.
Algunas de las cosas notables y no grandiosas que los ciberdelincuentes pueden hacer con la vulnerabilidad incluyen crear ataques de phishing altamente creíbles en los que las páginas web pueden ocultar su origen o el hecho de que su contenido proviene de una página externa. Asimismo, problemas con la ejecución de código en Outlook. Y, conmutadores de línea de comandos para productos de Microsoft Office que permiten la carga de complementos al inicio, incluida la carga de complementos maliciosos de Word y Excel.
¿Probablemente sin parchear?
Los investigadores han estado en un tira y encoje con Microsoft sobre esto durante meses, habiendo revelado inicialmente la vulnerabilidad a Microsoft en marzo. Microsoft cerró el informe inicial de Positive Security al día siguiente. Microsoft se basó en lo que Positive Security llamó la creencia “errónea” de Microsoft de que el exploit se basa en la ingeniería social:
[…]Desafortunadamente, su informe parece depender de la ingeniería social para lograrlo, lo que no cumpliría con la definición de vulnerabilidad. […]
—Comentario de rechazo inicial de Microsoft, según Positive Security.
“Solo después de nuestra apelación se reabrió el problema y se clasificó como ‘crítico, RCE’”, según el informe de la empresa de seguridad.
Microsoft tenía argumentos para sustentar la idea de que el exploit requeriría ingeniería social. En otros navegadores, un exploit requiere que la víctima acepte “un diálogo de confirmación discreto”. Otra opción para los atacantes sería enviar una URL maliciosa a través de una aplicación de escritorio que realice un manejo de URL inseguro.
Después de cinco meses, Microsoft corrigió la vulnerabilidad, pero el parche no resolvió la inyección del argumento subyacente. De hecho, los investigadores escribieron que “actualmente también está presente en Windows 11.”
Sin CVE
Un portavoz dijo que, desafortunadamente, “no sabemos si Microsoft lanzó algún cambio para Internet Explorer”. Esto hace referencia a una declaración de Microsoft acerca de que la solución no ha salido a través de Windows Update.
En otras palabras, no te molestes en buscar un CVE o un parche relacionado. Así lo explicó Microsoft:
Desafortunadamente, en este caso no hubo CVE o aviso vinculado al informe. La mayoría de nuestros CVEs se crean para explicar a los usuarios por qué se envían ciertos parches a través de Windows Update y por qué deben instalarse. Los cambios en los sitios web, las descargas a través de Defender oa través de la Tienda normalmente no obtienen un CVE adjunto de la misma manera. En este caso, la solución no salió a través de Windows Update.
—Microsoft, según Positive Security
URI en Windows 10
Positive Security había establecido un límite para encontrar una vulnerabilidad de ejecución de código en un controlador URI de Windows 10 predeterminado. Solo les tomó dos semanas, y sospechan que es “muy probable” que otros manejadores de URI de Windows personalizados también sean vulnerables.
La motivación original: mejorar el escenario de ataque malicioso de URI. En enero, los investigadores habían analizado cómo las aplicaciones de escritorio populares manejan los URIs proporcionados por el usuario. Los investigadores encontraron vulnerabilidades de ejecución de código “en la mayoría de ellos”.
Esta vulnerabilidad RCE de Windows 10 no es la primera que surge en controladores de URI de terceros. A continuación te mostramos algunos ejemplos anteriores:
- 2012: Se encontró una vulnerabilidad de ejecución de código (PDF) en el protocolo de URL de Steam que podría haberse usado para explotar vulnerabilidades en juegos. Puso a más de 50 millones de usuarios de la plataforma de distribución de juegos Steam en riesgo de ser comprometidos a distancia.
- 2018: Se descubrió una vulnerabilidad de ejecución de código que afectó a las aplicaciones Electron que registran protocolos personalizados.
- 2018: una vulnerabilidad de alta gravedad (PDF) en TeamViewer podría haber permitido el descifrado de contraseñas sin conexión al visitar sitios maliciosos (CVE 2020-13699).
Windows 10 viene con una gran cantidad de controladores de URI personalizados relacionados con diferentes características del sistema operativo u otro software de Microsoft. Los investigadores encontraron ms-officecmd particularmente interesante “debido a su aparente complejidad”.
ms-officecmd
El esquema ms-officecmd: llamó nuestra atención de inmediato debido a su prometedor nombre. MS Office es un conjunto de aplicaciones muy complejo con muchas características heredadas y una larga historia de explotación. Además de eso, el esquema termina con la abreviatura de ‘comando’, lo que sugiere aún más complejidad y potencial de inyección.
Mientras inspeccionaban el controlador, los investigadores notaron un ejecutable llamado LocalBridge.exe que se ejecutaba brevemente … pero aparentemente no hacía nada. Sin embargo, al comprobar el registro de eventos de Windows, descubrieron que se activaba una excepción .NET JsonReaderException al abrir el URI “ms-officecmd:invalid”. La observación de la forma en que el controlador de URI analizó JSON confirmó que las URIs tienen el potencial de hacer cosas muy complejas.