警惕！Windows 10的設置快捷方式可被濫用於代碼執行

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

SpecterOps公司的研究員Matt Nelson指出，Windows 10中增添的一種新型文件類型格式可被濫用於在用戶電腦上執行惡意代碼。

這個文件類型是Windows 10在2015年推出的文件格式「.SettingContent-ms」，旨在創建Windows 10設置頁面的快捷方式，作為經典控制面板選項的替代選擇。

SettingContent-ms 能運行惡意代碼

所有的 SettingContent-ms 文件均為 XML 文檔，其中包含 標籤，明確了用戶雙擊快捷方式時將要打開的 Windows 10 設置頁面所在的磁碟位置。

但本月初，Nelson 發現他能用本地系統中的任何其它可執行文件替代這個 DeepLink 標籤，包括二進位的鏈接，如允許 shell 命令執行的cmd.exe 或 PowerShell.exe。

另外，Nelson 還發現能夠鏈接兩個二進位路徑並相繼執行這兩個路徑。這就意味著攻擊者能夠創建充滿陷阱的 SettingConent-ms 快捷方式，該快捷方式能夠在後台運行惡意代碼，然後顯示所需 Windows 設置頁面，就像什麼都沒發生過一樣。

從網路打開 SettingContent-ms 無警報

誘騙用戶打開此類文件似乎也非常容易辦到。Nelson 表示他在一個 web 伺服器上託管了一個 SettingContent-me 捷徑，然後就能在 Windows 10 或 Windows Defender 未向用戶發出警報的情況下下載並運行該快捷方式。他指出，「當文件源自互聯網時，它就能在用戶點擊『打開』時立即執行。出於某種原因，文件仍然在未向用戶發出任何通知或警告的情況下執行。」

Nelson 還通過視頻展示了他從遠程伺服器下載並打開一個 SettingContent-ms 快捷方式。

攻擊者能在 Office 文檔中隱藏 SettingContent-ms 文件

儘管存在基於 web 的執行向量，但多數用戶仍然會意識到打開帶有 SettingContent-ms 後綴的文件，很多人此前並未聽說過該文件。

Nelson 表示這也並非什麼大問題，因為惡意軟體作者能夠在 Office 功能 OLE 的協助下將 SettingContent-ms 快捷方式內嵌到 Office 文檔中。該功能允許 Office 用戶將其它文件內嵌在 Office 文檔中，目的是改進 Office 對用戶的吸引力，但在過去幾十年來，它也成為在用戶電腦上運行惡意代碼的最簡單的方法。

微軟通過禁止在 OLE 對象中嵌入某些危險文件類型的方式阻擊了這一趨勢。由於 SettingContent-ms 是一種新的文件類型，因此它並未包含在 Office 的 OLE 文件格式黑名單中。這就意味著惡意軟體作者能可靠地通過 SettingConent-ms 文件烈性 Office 文檔在用戶系統中執行惡意操作。

SettingContent-ms 文件繞過 ASR

除此以外，Nelson 還表示 SettingContent-ms 還繞過了 Windows 10 的一個安全功能「攻擊面減少 (ASR)」。ASR 是多種安全規則的集合，在 Windows 10 中是可選項而且默認禁用。用戶能夠啟用其中一個 ASR 規則以阻止 Office 文檔開啟子進程，而惡意軟體利用這一技術從 Office OLE 對象傳播到自己的進程中。

在大型企業網路中，系統管理員通常會在所管理的電腦上啟用這個 ASR 規則，以阻止用戶不慎打開惡意 Office 文檔並感染整個公司。

Nelson 表示 SettingContent-ms 文件能繞過這個阻止 Office 觸發子進程的 ASR 規則。攻擊者的伎倆在於從白名單切允許開啟子進程的 Office 應用開始鏈接 SettingConent-ms DeepLink，之後實施惡意操作。

藉此，惡意軟體作者能夠在安全性最堅固的 Windows 10 電腦上執行代碼。

Nelson 聯繫微軟公司但後者表示這並非操作系統中的漏洞問題。雖然它不會在「補丁星期二」緊急更新中予以修復，但很可能 SettingContent-ms 文件會很快終結在 OLE 文件格式黑名單中。

Nelson 公布了關於惡意使用 SettingContent-ms文件的報告，並隨附其它系統管理員可複製其研究的惡意 SettingContnt-ms 文件樣本。

https://www.bleepingcomputer.com/news/security/windows-settings-shortcuts-can-be-abused-for-code-execution-on-windows-10/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！