自Windows XP时代以来,微软已经提供了几个预先定制的开箱即用的个性化选项-颜色、字体和光标,仅举几例。这种个性化对用户来说很容易做到。他们可以查看安装的主题,只需右键单击桌面,选择“个性化”,然后单击“主题”。主题文件的后缀为.theme,可以使用MSDN的概述创建。
这种看似无害的细微之处可能会为一些鬼鬼祟祟的漏洞提供一个家。在我们对2023年9月补丁星期二的分析中,我们简要讨论了主题中的漏洞CVE-2023-38146的影响。在分析该漏洞时,我们决定“玩”主题文件中的值,并发现某些参数缺乏验证。
通过滥用这种缺乏验证的情况,我们可以在有效的零用户交互的情况下执行攻击:所有用户必须做的就是下载恶意的Themes文件。一旦用户在资源管理器中查看该文件,攻击就开始了。
我们已经记录了您需要了解的有关此漏洞的信息,包括缓解措施和警告。请继续阅读。
主题文件格式由几个参数块组成。在本文中,我们将讨论两个参数:[theme]块中的BrandImage参数(图1)和[Control PanelDesktop]块中的Wallpaper参数(图2)。
图1:主题文件中的BrandImage参数
图2:主题文件中的Wallpaper参数
Windows中的每个文件都有一个缩略图,应该与其功能相对应。缩略图可以是任何东西,从产品的徽标到对其使用的描述(例如计算器)。主题文件缩略图由三部分组成:墙纸(黑色方块)、MS样式文件(紫色方块)和品牌图像(Infection Monkey图像;图3)。
图3:主题文件的缩略图及其三个组件
这些组件在主题文件中以三个不同的参数编写- BrandImage,Wallpaper和VisualStyle。所有这些路径都可以是指向BGP端点的远程路径。
它是如何被利用的
当创建或查看主题文件时,Windows将尝试从其三个组件中为其创建正确的缩略图。此缩略图创建过程将在资源管理器进程中自动启动。图4概述了创建Theme文件缩略图的代码流。
图4:主题缩略图创建的代码流
由于这些操作是自动启动的,因此这是攻击者寻找操纵结果的方法的好地方。攻击者可以做到这一点的方法之一是将这三个参数中的每一个的值更改为指向攻击者控制的服务器的路径,希望受害者的机器将尝试对他们的机器进行身份验证。
我们发现图像的路径可以是任何合法的路径,包括一个匿名路径。更改“BrandImage”或“Wallpaper”的值会产生一个来自受害者机器的连接,从而导致身份验证强制攻击。也就是说,作为到远程服务器的连接的一部分,客户端执行SMB协商,在此期间发送其NTLM凭据(视频)。
NTLM 泄漏的后果
利用受害者的 NTLM 凭据,攻击者可以执行 NTLM 中继攻击,即对接受 NTLM 作为访问凭据的系统的攻击。通过中继 NTLM 哈希值,攻击者可以验证为合法用户,从而获得对他们原本无法访问的系统的访问权限。
另一种选择是提供 NTLM 凭据作为密码破解应用程序(例如 John the Ripper)的输入,以尝试使用暴力破解受害者的密码。
影响有多大的一个例子是臭名昭著的 Outlook 漏洞,该漏洞最初于 2023 年 3 月向 Microsoft 披露。我们发现了类似的结果,并且已在野外被积极利用,证明这种攻击媒介仍然具有相关性,并且对于攻击者来说是有利可图的。
三月份的漏洞允许攻击者向受害者发送电子邮件并触发音频文件下载。该音频文件的路径可以指向任何地方,包括远程服务器(使用 UNC 路径)。Akamai 研究员Ben Barnea撰写了大量有关此漏洞的文章,以及他如何找到针对该漏洞的多个 绕过补丁的方法。
https://www.akamai.com/blog/security-research/leaking-ntlm-credentials-through-windows-themes#how-its-exploited
原文始发于微信公众号(Ots安全):CVE-2024-21320 PoC 已发布 - Microsoft Microsoft 主题中的欺骗漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论