✍️ En Windows, hay archivos de temas especiales con la misma extensión .themes
🖥 Estos permiten personalizar el sistema aplicando nuevos colores, paletas de colores, fuentes y fondos de pantalla,bla bla.
ℹ️ En 2023, se publicó una prueba de concepto para la vulnerabilidad themebleed tambien esta el POC2, lo cual de alguna manera no fue apreciado.
🌀 De hecho, era un cargador incorporado.
➡️ Todo se basaba en el hecho de que Explorer.exe, al detectar una referencia especial a un archivo de estilos (msstyles) en un archivo de temas, cargaba de forma remota una DLL con un nombre que terminaba en: _vrf.dll
🇵or supuesto, se verificó la firma, pero esta verificación se evitó mediante el ataque TOC TOU (Time of Check – Time of Use) 👉 Durante la primera solicitud al servidor SMB controlado por el atacante, se transfirió una DLL legítima para realizar verificaciones de firma, pero la primera solicitud fue seguida por una segunda (después de una verificación exitosa), que ya envió una biblioteca maliciosa.
La investigación sobre temas de Windows no terminó allí y se descubrió una nueva vulnerabilidad:
👉 Una fuga de hash NetNTLM sin necesidad de abrir el archivo del tema, bastaba con entrar en la carpeta con el archivo correctamente generado y el hash estaba en nuestras manos.
🔥 A la vulnerabilidad se le ha asignado el identificador CVE-2024-21320 (https://www.akamai.com/blog/security-research/leaking-ntlm-credentials-through-windows-themes), y la prueba de concepto se puede encontrar aquí
Estas dos vulnerabilidades pueden funcionar perfectamente bien en una cadena con Técnicas de Contrabando 🏴☠️
🇪l parche para CVE-2024-21320 consistió en implementar una verificación de una ruta UNC usando la función PathIsUnc(): si la ruta estaba en un recurso compartido de red, entonces Explorer.exe no intentaba cargar archivos para el archivo de tema. Sin embargo, los investigadores han encontrado una forma de evitar esto (gracias a un artículo de Google Project Zero especificando la ruta UNC en un formato diferente:
\??\UNC\ip\share
ℹ️ Así nació CVE-2024-38030 no hubo un análisis detallado de ella, pero apareció un POC .themes
🔥 MS corrigió ligeramente la función y parecería que eso fue todo, sin embargo, las aventuras no terminaron y apareció CVE-2025-21308 (https://github.com/advisories/GHSA-fw67-4j8q-76gw).
Aún no hay ningún análisis ni prueba de concepto al respecto, pero algo me dice que ha aparecido nuevamente una forma de evitar la verificación de la ruta UNC 🙊
S.I Stega Intelligence
Discover more from Stega Intelligence
Subscribe to get the latest posts sent to your email.