Vulnerabilidade no Windows Shell permite hacker obter direitos do usuário. Vulnerabilidade de execução remota de código quando o Windows Shell manipula indevidamente URLs permite ao invasor obter os mesmos direitos do usuário.
Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle de um sistema afetado.
Esta é mais uma razão para se apressar com a implementação dos mais recentes patches da Microsoft. Uma PoC de exploit para uma vulnerabilidade de execução remota de código que pode ser explorada via Microsoft Edge foi publicado e pode ser facilmente adaptado por invasores.
Sobre a vulnerabilidade (CVE-2018-8495)
O CVE-2018-8495 existe porque o Windows Shell manipula indevidamente caracteres especiais em URLs (ele não os limpa).
Existe uma vulnerabilidade de execução remota de código quando o Windows Shell manipula indevidamente URLs. Um invasor que explore com êxito a vulnerabilidade pode obter os mesmos direitos de usuário do usuário atual.
Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle de um sistema afetado.
Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.
“Não há como um invasor explorar a vulnerabilidade sem que o usuário execute a ação específica”
O invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Microsoft Edge e convencer um usuário a exibir o site. O ataque requer interação específica do usuário para que ele passa enganá-lo para perpetrar o ataque. Não há como um invasor explorar a vulnerabilidade sem que o usuário execute a ação específica.
“Há vários problemas com o modo como o produto lida com URLs dentro de determinados esquemas. O produto não avisa o usuário que uma navegação perigosa está prestes a ocorrer ”, explica a Zero Day Initiative (ZDI) da Trend Micro no advisory. “Um invasor pode manipular a interface do usuário para que a ação do usuário seja interpretada como permissão para prosseguir com a abertura de um arquivo perigoso.”
O fato de a exploração não poder ser efetuada sem que o usuário execute uma ação específica atenua um pouco a gravidade da vulnerabilidade.
Mas, com a abordagem correta, enganar os usuários para que visitem um site mal-intencionado e pressionar a tecla Enter não deve ser muito difícil para engenheiros sociais proficientes e phishers especialistas que desejam atingir alvos específicos.
Exploração do PoC
Abdulrahman Al-Qabandi, o “computerphile e hacker” que descobriu a falha, compartilhou detalhes de como ele foi capaz de explorá-lo, bem como o código de exploração da PoC que ele escreveu. Ele também forneceu uma demonstração em vídeo da exploração em ação.
Al-Qabandi relatou a vulnerabilidade à Microsoft através do ZDI em julho, e a Microsoft lançou atualizações de segurança que corrigem isso na terça-feira. Na época, não havia indicação de que poderia ter sido explorado por invasores na natureza.
A vulnerabilidade afeta o Windows 10 e o Windows Server 2016 e as versões 1709 e 1803 do Windows Server.
A atualização de segurança elimina a vulnerabilidade, modificando como o Windows Shell lida com URLs.
Fonte: HelpNetSecurity & Microsoft CVE & Leucosite
Veja também:
- LGPD Requer Processo Organizacional de Segurança da Informação
- Google+ expõe dados de usuários através de APIs mas não divulgou
- Amazon demite funcionário que vendia informações de clientes
- Milhões de dados comprometidos por Startup de Inteligência incluem dados do Salesforce e Linkedin
- China implantou chip em motherboards que deixam dados vulneráveis
- CISCO divulga patches para 39 vulnerabilidades – 3 Críticas e 10 Altas
- Bypass da Senha do iOS12 dá acesso a Fotos e Contatos
- FBI e DHS alertam sobre o crescente número de ataques RDP
- Falha no Facebook expõe acesso de 50 Milhões de usuários
Deixe sua opinião!