Paint 3D zawierał podatność umożliwiającą zdalne wykonanie kodu
Autor: Krzysztof Sulikowski
Opublikowano: 6/17/2021, 3:49 PM
Liczba odsłon: 2337
Mimo sporego hajpu nakręcanego swego czasu przez Microsoft Paint 3D został dość chłodno przyjęty przez użytkowników. Po paru latach praktycznie bez aktualizacji i z mizernym zainteresowaniem użytkowników Microsoft wycofuje aplikację z Windows 10. Nie będzie już ona preinstalowana razem z systemem, a jedynie dostępna dla chętnych. Wycofywane są też integracje z menu i innymi aplikacjami, takimi jak klasyczny Paint. Jakby tego było mało, okazuje się, że Paint 3D stwarzał również zagrożenie dla bezpieczeństwa Windows 10.
Badacze zabezpieczeń z Zero Day Initiative (ZDI) wykryli lukę w zabezpieczeniach Painta 3D, która umożliwiała zdalne wykonanie kodu po spełnieniu określonych warunków. Exploit wymagał od użytkownika załadowania specjalnie spreparowanego pliku albo wejścia na specjalną stronę. Podatność została już załatana w czerwcowym Patch Tuesday, dlatego można już spokojnie informować o szczegółach podatności. Zostały one opisane pod sygnaturą CVE-2021-31946 i brzmią następująco:
Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability
Podatność ta umożliwia zdalnym atakującym wykonanie dowolnego kodu na dotkniętych nią instalacjach Microsoft Paint 3D. Do wykorzystania tej luki wymagana jest interakcja użytkownika, tzn. cel musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.
Ta konkretna luka istnieje w parsowaniu plików GLB. Problem wynika z braku poprawnej walidacji danych dostarczonych przez użytkownika, co może skutkować odczytem poza końcem przydzielonej struktury danych. Atakujący może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu przy niskiej integralności.
Stopień zagrożenia tej podatności oceniono jako średni, ponieważ wymagane jest, by atakujący podniósł już swoje uprawnienia w systemie. Warto przy okazji ponownie podkreślić, jak ważne jest instalowanie miesięcznych aktualizacji zabezpieczeń ukazujących się w każdy drugi wtorek miesiąca (Patch Tuesday). Nawet jeśli nie korzystamy na co dzień z aplikacji dotkniętych podatnościami, to i tak istnieją sposoby (jak wspomniane wejście na spreparowaną stronę), by móc je zaatakować.