Temi Windows 11 possono eseguire codice dannoso: come evitarlo

In occasione del patch day di settembre 2023, Microsoft ha confermato l’esistenza di un problema che riguarda la gestione dei temi Windows 11 e che può essere sfruttato da parte dei criminali informatici per eseguire codice dannoso. Contraddistinta con l’identificativo CVE-2023-38146, si tratta di una falla di sicurezza che, sui sistemi vulnerabili, provoca il caricamento di codice arbitrario a fronte di un semplice doppio clic su un file .theme.

Come funziona l’esecuzione di codice dannoso a partire da un tema Windows 11

La vulnerabilità in questione è soprannominata ThemeBleed dal ricercatore che l’ha individuata, Gabe Kirkpatrick. L’esperto ha ricevuto un premio di 5.000 dollari per averla segnalata correttamente e in forma privata a Microsoft, nell’ambito del suo programma bug bounty. Abbiamo già detto quanto i programmi bug bounty siano importanti anche nell’ambito della Pubblica Amministrazione.

L’esperto fa presente che quando un utente fa doppio clic su un file .theme, Windows 11 esegue il seguente comando:

"C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\themecpl.dll,OpenThemeAction <percorso del file del tema>

Il problema di sicurezza, sul quale può essere fatta leva per eseguire codice da remoto semplicemente inviando un tema malevolo all’utente-vittima, risiede nei file .msstyles, oggetti contenenti risorse da utilizzare nel tema Windows. Quando il sistema operativo carica un file di questo tipo, un’apposita funzione integrata nella libreria uxtheme.dll verifica la versione del tema.

Se la versione letta è 999, il sistema invoca un’altra funzione chiamata ReviseVersionIfNecessary che – fino all’intervento di Microsoft applicato questo mese – presentava un problema di sicurezza che consente all’aggressore di sostituire una delle librerie firmate digitalmente con una non firmata, a sua volta caricata ed eseguita sulla macchina.

L’autore della scoperta aggiunge inoltre che di norma i file .theme fanno apparire il classico avviso di sicurezza che informa l’utente sui rischi legati all’apertura di un file proveniente dalla rete Internet (Mark-of-the-Web). La comparsa del messaggio di allerta, tuttavia, può essere bypassata creando un file compresso in formato CAB (.themepack) contenente l’elemento .theme vero e proprio. Quando si apre un file .themepack non viene visualizzato alcun avviso in Windows, a dispetto della presenza del Mark-of-the-Web.

Come risolvere il problema di sicurezza ed evitare l’esecuzione di codice nocivo

La falla ThemeBleed sembra al momento riguardare esclusivamente i sistemi Windows 11 e non le precedenti release del sistema operativo Microsoft. Per risolvere il problema di sicurezza legato alla scorretta gestione dei temi di Windows 11, è quindi fondamentale installare l’aggiornamento cumulativo di settembre 2023.

Come conferma Kirkpatrick, Microsoft si è però limitato a risolvere solamente il bug nella funzione ReviseVersionIfNecessary mentre persiste la race condition ugualmente segnalata all’azienda di Redmond. Una race condition è un tipo di problema che si verifica nei sistemi informatici, specialmente in ambienti multithreading o multiutente, in cui il comportamento del programma dipende dall’ordine in cui sono eseguite le varie operazioni. Questo può portare a risultati imprevedibili o indesiderati, causando comportamenti anomali o errori nel software.

Microsoft, infine, non ha ancora sanato il problema dell’assenza di avvisi (Mark-of-the-Web) per i file CAB contenenti a loro volta temi di Windows.

Il ricercatore che ha scoperto ThemeBleed ha pubblicato il codice Proof-of-Concept (PoC) che dimostra la fattibilità dell’aggressione e avvia la calcolatrice di Windows con un doppio clic su un tema.

In un altro articolo abbiamo visto come i temi di Windows possano rubare password e trasferirle verso sistemi terzi sfruttando il meccanismo alla base di NTLM, recentemente rinforzato da Microsoft.