Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Foreign Sources
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Vzdialené vykonávanie kódu v aplikácii Windows Contacts (zero-day)

28.01.2019
Zraniteľnosť v aplikácii Windows Contacts umožňuje útočníkovi vytvoriť škodlivú vizitku vo formáte .VCF, alebo .Contact. Keď na ňu obeť klikne, útočník môže vykonávať ľubovoľný kód s právami práve prihláseného užívateľa. Spoločnosť Microsoft neplánuje zraniteľnosť odstrániť. Záplatu vydala spoločnosť 0patch.

 

Dôsledky
Vzdialené vykonávanie kódu

Opis činnosti
Bezpečnostný výskumník John Page spoločnosti Zero Day Initiative (ZDI) nahlásil zero-day zraniteľnosť v aplikácii Windows Contacts, ktorá je súčasťou operačného systému Microsoft Windows. Táto umožňuje vykonávať ľubovoľný kód s právami aktuálne prihláseného používateľa.

Zraniteľnosť súvisí so spôsobom, akým aplikácia narába so súbormi .VCF (vCard file) a .Contact, ktoré slúžia na ukladanie kontaktných informácií. Pri spracovaní parametrov vizitky "URL" a "e-mail", ktorých očakávané hodnoty sú adresa webovej stránky, resp. e-mailová adresa, dochádza k nedostatočnému overeniu týchto hodnôt. Kliknutím na parameter je tento reťazec použitý ako argument v ShellExecute volaní, ktoré najprv pozerá, či sa reťazec nenachádza na lokálnom počítači. Ak teda útočník podsunie parameter s hodnotou referujúcou na ľubovoľný lokálny súbor, alebo súbor v lokálnej sieti namiesto webstránky / e-mailu a obeť na tento parameter klikne, proces spustí daný súbor bez varovania užívateľa. Útočník môže jednoducho vytvoriť vizitku vo formáte .VCF, alebo .Contact s podadresárom, kam umiestni škodlivý súbor.

Spoločnosť Microsoft oznámila, že túto zraniteľnosť nebude opravovať, a tak aspoň zatiaľ ostáva ako jediná možnosť mikrozáplata od spoločnosti 0patch.

Zraniteľné systémy
Windows Vista - Windows 10

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Pre verzie operačného systému Windows 10 v. 1803 (64-bit) a Windows 7 (64-bit) existuje mikrozáplata z platformy 0patch. Pre iné verzie Windows je možné o mikrozáplatu požiadať.

Odkazy
https://www.bleepingcomputer.com/news/security/windows-contacts-remote-code-execution-zero-day-gets-micropatch/
https://blog.0patch.com/2019/01/one-two-three-micropatches-for-three.html
https://www.helpnetsecurity.com/2019/01/22/windows-contacts-rce-micropatch/
https://www.zdnet.com/article/poc-for-windows-vcf-zero-day-published-online/
https://www.zerodayinitiative.com/advisories/ZDI-19-013/
https://threatpost.com/microsoft-windows-rce-flaw-gets-temporary-micropatch/141067/



<< zoznam oznámení