Kritická zraniteľnosť grafického prvku systému Windows 10

4. marca 2021

Dominik Röttsches z Google a Mateusz Jurczyk z Google Project Zero odhalili v novembri kritickú zraniteľnosť API rozhrania systému Windows, ktorá bola opravená spoločnosťou Microsoft vo Februárových bezpečnostných aktualizáciách systému. Chyba umožňuje vzdialene vykonávať kód.

Dôsledky

Vzdialené vykonanie kódu (RCE)
Kompromitácia zariadenia
Kompromitácia siete

Opis činnosti
CVE-2021-24093

Kritická zraniteľnosť s CVSS skóre 8,8 sa nachádza v API rozhraní DirectWrite systému Windows.

DirectWrite API sa používa ako predvolený raster písma pre internetové prehliadače na vykreslenie glyfov webových fontov. Útočník môže chybu zneužiť nasmerovaním obete na podvodnú webstránku s účelovo vytvoreným fontom TrueType.Ten môže vo funkcii API DWrite! fsg_ExecuteGlyph pri načítaní a rastrovaní chybne vytvoreného písma TrueType s poškodenou tabuľkou „maxp“ vyvolať pretečenie medzipamäte na halde a umožniť útočníkovi vzdialene vykonať kód (RCE). „Konkrétne [pretečenie] nastalo po zmene hodnoty poľa maxPoints zo 168 na 0 a hodnoty maxCompositePoints z 2352 na 3. Domnievame sa, že toto spôsobuje pridelenie neadekvátne malej pamäte halde.“ – uvádza spoločnosť Google vo svojom reporte. Zároveň Google zverejnil aj funkčnú ukážku zneužitia zraniteľnosti.

Microsoft túto zraniteľnosť opravil v balíku aktualizácií „patch Tuesday“ vo februári 2021.

Zraniteľné systémy

Windows 10 a Windows Server 2016, vrátane verzie 20H2

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých údajov
Vzdialené vykonávanie kódu

Odporúčania
Bezodkladná aktualizácia operačných systémov Windows a Windows Server

Odkazy
https://www.bleepingcomputer.com/news/security/google-shares-poc-exploit-for-critical-windows-10-graphics-rce-bug/amp/?__twitter_impression=true
https://securityaffairs.co/wordpress/115008/hacking/cve-2021-24093-rce-flaw-details.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093