Windows 10 Drive-By RCE Dipicu oleh Default URI Handler

Researchers telah menemukan bug drive-by remote code-execution (RCE) di Windows 10 melalui Internet Explorer 11/Edge Legacy – browser berbasis EdgeHTML yang saat ini menjadi browser default pada PC Windows 10 – dan Microsoft Teams.

Menurut laporan yang diposting Selasa oleh Positive Security, kerentanan dipicu oleh injeksi argumen, yang merupakan jenis serangan yang melibatkan perusakan parameter input halaman. Itu dapat memungkinkan penyerang untuk melihat atau mengubah data melalui antarmuka pengguna yang biasanya tidak bisa mereka dapatkan di.

Dalam hal ini, masalahnya terletak pada penangan Uniform Resource Identifier (URI) default Windows 10/11 untuk ms-officecmd: URI digunakan oleh aplikasi Microsoft Office Universal Windows Platform (UWP) untuk meluncurkan aplikasi desktop Office lainnya.

Beberapa hal penting dan tidak hebat yang dapat dilakukan oleh pelaku ancaman dengan kerentanan termasuk membuat serangan phishing yang sangat dapat dipercaya di mana halaman web dapat menyembunyikan asalnya atau fakta bahwa konten mereka berasal dari halaman eksternal; masalah dengan eksekusi kode di Outlook; sakelar baris perintah untuk produk Microsoft Office yang memungkinkan pemuatan add-in saat startup, termasuk memungkinkan pemuatan add-in Word/Excel berbahaya.

Kemungkinan Belum Ditambal?

Para peneliti telah bolak-balik dengan Microsoft tentang hal ini selama berbulan-bulan, setelah awalnya mengungkapkan kelemahan tersebut kepada Microsoft pada bulan Maret. Microsoft menutup laporan awal Positive Security keesokan harinya, berdasarkan apa yang disebut Positive Security sebagai keyakinan “salah” Microsoft bahwa eksploitasi bergantung pada rekayasa sosial:

[…] Sayangnya laporan Anda tampaknya mengandalkan rekayasa sosial untuk diselesaikan, yang tidak akan memenuhi definisi kerentanan keamanan. […] —Komentar penolakan awal Microsoft, berdasarkan Positive Security

“Hanya setelah banding kami, masalah dibuka kembali dan diklasifikasikan sebagai ‘kritis, RCE,`” menurut catatan perusahaan keamanan.

Kami ingin tahu apa masalah dan tantangan keamanan cloud terbesar Anda adalah, dan bagaimana perusahaan Anda berurusan dengan mereka. Pertimbangkan dengan eksklusif kami, Anonim Threatpost Poll!

Anda dapat melihat dari mana Microsoft mendapatkan ide bahwa eksploitasi akan memerlukan rekayasa sosial: Di browser lain, eksploitasi mengharuskan korban untuk menerima “dialog konfirmasi yang tidak mencolok,” para peneliti menjelaskan. Pilihan lain bagi penyerang adalah mengirimkan URL berbahaya melalui aplikasi desktop yang melakukan penanganan URL yang tidak aman, tambah mereka.

Setelah lima bulan, Microsoft menambal cacat tersebut, tetapi tambalan tersebut gagal mengatasi injeksi argumen yang mendasarinya, Positive Security menegaskan. Faktanya, para peneliti menulis bahwa “saat ini juga masih ada di Windows 11.” Juru bicara

A mengatakan kepada Threatpost bahwa, sayangnya, “kami tidak tahu apakah/kapan Microsoft merilis perubahan apa pun untuk Internet Explorer,” mengacu pada komentar dari Microsoft tentang perbaikan tidak keluar melalui Windows Update.

Dengan kata lain, tidak perlu repot-repot berburu CVE atau patch terkait. Beginilah cara Microsoft menjelaskannya, seperti yang diceritakan oleh Positive Security:

Sayangnya dalam kasus ini tidak ada CVE atau penasehat yang terkait dengan laporan tersebut. Sebagian besar CVE kami dibuat untuk menjelaskan kepada pengguna mengapa patch tertentu dikirim melalui Pembaruan Windows dan mengapa patch tersebut harus diinstal. Perubahan pada situs web, unduhan melalui Defender, atau melalui Store biasanya tidak dilampirkan CVE dengan cara yang sama. Dalam hal ini perbaikan tidak keluar melalui Pembaruan Windows. —Microsoft, per Positive Security

Microsoft tidak segera menanggapi permintaan Threatpost untuk mengomentari kapan perbaikan mungkin akan datang, meskipun dikatakan pada bulan September bahwa perbaikan akan dirilis “dalam beberapa hari.” Bug Lickety-Split

Positive Security telah menetapkan batasnya untuk menggali kerentanan eksekusi kode di penangan URI Windows 10 default. Hanya butuh dua minggu, kata para peneliti, dan mereka menduga bahwa “sangat mungkin” bahwa penangan URI Windows kustom lainnya juga rentan.

Motivasi awal: Untuk meningkatkan skenario serangan URI berbahaya. Pada bulan Januari, para peneliti telah menganalisis bagaimana aplikasi desktop populer menangani URI yang disediakan pengguna. Tidak baik, mereka menyimpulkan, setelah menemukan kerentanan eksekusi kode “di sebagian besar dari mereka.”

Windows 10 drive-by RCE bukan pertama kalinya kerentanan muncul di penangan URI pihak ketiga, kata para peneliti, menunjuk ke contoh sebelumnya ini:

    2012: Sebuah cacat eksekusi kode (PDF) dalam protokol URL Steam ditemukan yang dapat disalahgunakan untuk mengeksploitasi kerentanan dalam game. Ini menempatkan lebih dari 50 juta pengguna game Steam dan platform distribusi media dalam risiko kompromi jarak jauh.

    2018: Sebuah cacat eksekusi kode yang mempengaruhi aplikasi Electron yang mendaftarkan protokol kustom ditemukan.

    2018: Kerentanan dengan tingkat keparahan tinggi (PDF) di TeamViewer bisa memungkinkan peretasan kata sandi offline saat mengunjungi situs berbahaya (CVE 2020-13699).

“Windows 10 hadir dengan banyak penangan URI khusus yang berkaitan dengan berbagai fitur OS atau perangkat lunak Microsoft lainnya,” kata Positive Security. Para peneliti menemukan ms-officecmd sangat menarik “karena kerumitannya yang nyata,” kata mereka:

Skema ms-officecmd: segera menarik perhatian kami karena namanya yang menjanjikan: MS Office adalah rangkaian aplikasi yang sangat kompleks dengan banyak fitur lama dan panjang sejarah eksploitasi. Selain itu, skema berakhir dengan singkatan untuk ‘perintah’, yang menunjukkan lebih banyak kompleksitas dan potensi untuk injeksi. —Keamanan Positif

Saat memeriksa handler, peneliti melihat sebuah executable bernama LocalBridge.exe yang akan berjalan sebentar … tetapi tampaknya tidak melakukan apa-apa. Tetapi setelah memeriksa Log Peristiwa Windows, mereka menemukan bahwa .NET JsonReaderException dipicu dengan membuka URI “ms-officecmd:invalid.” Mengamati cara penangan URI menguraikan JSON mengonfirmasi bahwa “URI memiliki potensi untuk melakukan hal-hal yang sangat kompleks,” para peneliti menjelaskan. “Kami bertekad untuk mencari tahu persis apa yang dapat mereka lakukan.”

Exploit

Cacat ini dipicu oleh situs web jahat yang “melakukan pengalihan Javascript ke skema ms-officecmd: URI” yang dibuat, para peneliti menjelaskan.

Para peneliti mengeksploitasi argumen pengendali URI cacat injeksi untuk melewati ukuran keamanan di Electron – kerangka kerja perangkat lunak sumber terbuka untuk mengembangkan aplikasi GUI desktop menggunakan teknologi web. Mereka menyuntikkan perintah OS sewenang-wenang melalui parameter –gpu-launcher dari aplikasi Microsoft Teams Electron.

Mereka mendemonstrasikan drive-by RCE pada Windows 10 melalui MS Edge dalam video proof of concept (PoC) di bawah ini.
https://media. threatpost.com/wp-content/uploads/sites/103/2021/12/07131741/drive-by-RCE.mp4
Ms-officecmd yang dibuat: URI yang ditampilkan dalam video PoC mereka berbunyi seperti ini:

ms-officecmd:{

“Penyedia Lokal .LaunchOfficeAppForResult”: {

“detail”: {

“appId”: 5,

“nama”: “tidak relevan”,

“ditemukan”: {

“perintah”: “tidak relevan”

}

}n : “a:/b/ –disable-gpu-sandbox –gpu-launcher=”C:\Windows\System32\cmd /c ping 2016843009 && “”

}

}

Di bawah ini adalah “konfirmasi yang agak tidak mencolok dialog” yang ditampilkan di browser selain IE dan Microsoft Edge Legacy sebelum membuka URI.
Browser berbahaya yang menampilkan dialog konfirmasi “tidak mencolok” yang tidak ada di IE dan Edge Legacy. Sumber: Positive Security.

“Dengan muatan JSON yang diekstraksi, kami akhirnya dapat membuka aplikasi desktop Office melalui ms-officecmd: URI,” kata para peneliti. Secara khusus, muatan yang diekstrak dari aplikasi Office UWP dapat digunakan untuk membuka Outlook.”

Microsoft Teams Required

Positive Security mengatakan bahwa agar eksploitasi berfungsi, Microsoft Teams harus diinstal tetapi tidak berjalan. Para peneliti juga membagikan detail tentang bagaimana skema dan injeksi argumen dapat disalahgunakan dengan cara lain, “dengan dan tanpa bantuan Tim MS.” kepada Microsoft Security Response Center.

Positive Security mengatakan kepada Threatpost bahwa risiko langsung dari eksploitasi RCE berbasis Teams telah dikurangi melalui patch ke Microsoft Teams, “sehingga orang tidak perlu terlalu khawatir.” Tetapi injeksi argumen yang tersisa dan masalah lainnya, termasuk masalah Outlook, “harus mudah direplikasi dengan tautan PoC yang kami sediakan,” kata perusahaan itu.

Pada hari Selasa, setelah laporannya diterbitkan, Positive Security mengatakan kepada Threatpost bahwa tim telah sekali lagi baru-baru ini menguji payload JavaScript-forward di Internet Explorer 11, dan “tampaknya sekarang membuat browser crash”. Itu bukan pertanyaan besar, mengingat browser tidak lagi didukung oleh Microsoft, tidak lagi aman, dan, pada Mei 2020, memiliki pangsa pasar browser yang sangat sedikit 1,87 persen.

Sejauh browser dan aplikasi lain berjalan, Positif Keamanan disarankan untuk tidak mengklik ‘ms-officecmd:’-link. Selain itu, hindari dialog konfirmasi yang meminta untuk membuka executable LocalBridge.

Perusahaan menawarkan sejumlah mitigasi tambahan dalam penulisannya, termasuk, mungkin, penghapusan penangan URI dan migrasi ke penangan URI khusus aplikasi (mis. :” dan “ms-word:”) untuk membuka aplikasi.

“Menjadikan pengendali URI hanya tersedia untuk aplikasi Office PWA juga akan sangat mengurangi risiko, jika mungkin,” saran para peneliti.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Cloud Securityliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: