Kritická zraniteľnosť grafického prvku systému Windows 10
Dominik Röttsches z Google a Mateusz Jurczyk z Google Project Zero odhalili v novembri kritickú zraniteľnosť API rozhrania systému Windows, ktorá bola opravená spoločnosťou Microsoft vo Februárových bezpečnostných aktualizáciách systému. Chyba umožňuje vzdialene vykonávať kód.
Dôsledky
- Vzdialené vykonanie kódu (RCE)
- Kompromitácia zariadenia
- Kompromitácia siete
Opis činnosti
CVE-2021-24093
Kritická zraniteľnosť s CVSS skóre 8,8 sa nachádza v API rozhraní DirectWrite systému Windows.
DirectWrite API sa používa ako predvolený raster písma pre internetové prehliadače na vykreslenie glyfov webových fontov. Útočník môže chybu zneužiť nasmerovaním obete na podvodnú webstránku s účelovo vytvoreným fontom TrueType.Ten môže vo funkcii API DWrite! fsg_ExecuteGlyph pri načítaní a rastrovaní chybne vytvoreného písma TrueType s poškodenou tabuľkou „maxp“ vyvolať pretečenie medzipamäte na halde a umožniť útočníkovi vzdialene vykonať kód (RCE). „Konkrétne [pretečenie] nastalo po zmene hodnoty poľa maxPoints zo 168 na 0 a hodnoty maxCompositePoints z 2352 na 3. Domnievame sa, že toto spôsobuje pridelenie neadekvátne malej pamäte halde.“ – uvádza spoločnosť Google vo svojom reporte. Zároveň Google zverejnil aj funkčnú ukážku zneužitia zraniteľnosti.
Microsoft túto zraniteľnosť opravil v balíku aktualizácií „patch Tuesday“ vo februári 2021.
Zraniteľné systémy
- Windows 10 a Windows Server 2016, vrátane verzie 20H2
Závažnosť zraniteľnosti
Vysoká
Možné škody
Únik citlivých údajov
Vzdialené vykonávanie kódu
Odporúčania
Bezodkladná aktualizácia operačných systémov Windows a Windows Server
Odkazy
https://www.bleepingcomputer.com/news/security/google-shares-poc-exploit-for-critical-windows-10-graphics-rce-bug/amp/?__twitter_impression=true
https://securityaffairs.co/wordpress/115008/hacking/cve-2021-24093-rce-flaw-details.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24093