Um investigador descobriu uma falha de dia zero no processamento de ficheiros VCard que podia ser explorada por um criminoso remoto como meio de comprometer um PC com Windows.

O investigador John Page (@ hyp3rlinx), descobriu uma vulnerabilidade de dia zero no processamento de ficheiros VCard que podia ser explorada por um invasor remoto, sob certas condições, para hackear um  PC com o SO Windows instalado.

O investigador relatou a falha para a Microsoft através da Zero Day Initiative (ZDI) da Trend Micro.

“This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Windows. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.” reads the security advisory on ZDI.

“The specific flaw exists within the processing of VCard files. Crafted data in a VCard file can cause Windows to display a dangerous hyperlink. The user interface fails to provide any indication of the hazard. An attacker can leverage this vulnerability to execute code in the context of the current user.”

 

A falha foi relatada pela primeira vez em 08/06/18. A Microsoft reconheceu o relatório e forneceu um número de rastreamento e solicitou um PoC ao especialista.

Em 10/03/18, o fornecedor avisou que o relatório não atendia a certos críterios, mas no seu mais recente patch a Microsoft decidiu corrigir a falha.

Um atacante pode usar um ficheiro VCard especialmente criado que contenha no campo de URL do website o caminho para um ficheiro executável local.

Esse segundo ficheiro pode ser enviado através de um ficheiro compactado como anexo de email ou entregue por meio de drive-by-download attacks. Os criminosos até nem precisam criar um cenário muito complicado. P.ex., podem enviar o VCard junto com o malware, ambos compactados num ficheiro .zip, mas o executável hidden.

Segue a PoC criada pelo investigador e também relatada à Microsoft como meio de validar a vulnerabilidade.

“This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Windows. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the processing of VCard files.” reads the advisorypublished by the expert.

“Crafted data in a VCard file can cause Windows to display a dangerous hyperlink. The user interface fails to provide any indication of the hazard. An attacker can leverage this vulnerability to execute code in the context of the current user.”

 

O investigador apontou que a exploração dessa falha requer interação do utilizador. As vítimas têm que visitar uma página especialmente criada ou abrir um ficheiro malicioso.

A vulnerabilidade de dia zero recebeu uma pontuação CVSS 3.0 de 7,8.