微软 Windows 的最佳适配字符转换容易被利用

安全研究人员警告称，Windows ANSI API 包含一个隐藏陷阱，可能导致任意代码执行——一种被称为“WorstFit”的新攻击面。

安全研究人员概述了一种利用 Windows 内置的“最佳拟合”字符转换技术的新攻击媒介。

该技术在字符串转换中发挥作用，特别是当字符无法直接在目标字符集中表示时。

然而，DEVCORE 的应用程序安全专家 Orange Tsai 和 Splitline Huang 在Black Hat 的演示中展示了如何滥用从 Unicode 字符串到 ANSI 字符串的最佳拟合字符转换。

PPT 下载地址：

https://i.blackhat.com/EU-24/Presentations/EU-24-Tsai-V2-WorstFit-Unveiling-Hidden-Transformers-in-Windows-ANSI.pdf

受影响的可执行文件列表：

https://worst.fit/

两位研究人员警告称，Windows ANSI API 包含一个导致安全漏洞的隐藏陷阱。更具体地说，转换过程可以被操纵以执行参数注入，从而导致任意代码执行。

利用最佳拟合映射可以让攻击者在命令行执行中注入恶意参数。

Windows ANSI 中这些隐藏的转换器构成了一个新的攻击面，研究人员将其称为WorstFit。该问题会影响路径/文件名、命令行和环境变量。

各种技术，包括 Microsoft Office、cURL、PHP 和间接使用易受攻击的命令行工具（如 pip、composer 和 git）的 Windows 可执行文件，都存在潜在的漏洞。

例如， PHP 中的CVE-2024-4577问题就源于此类漏洞。开发人员已经发布了建议的缓解措施，但该漏洞仍在评估中且尚未解决。

不过，已经开发出补丁来解决CVE-2024-49026（Microsoft Excel 漏洞）。Orange Tsai 告诉 CSO，其他所有漏洞都存在漏洞。

演示强调了在软件开发实践中保持警惕的重要性，特别是在如何处理和清理字符集方面。

针对该问题，开发人员应尽可能使用 WideChar Windows API，同时用户应将其语言选项切换为 UTF-8。