当前位置:安全资讯 >> 全文

警惕!Windows 10的设置快捷方式可被滥用于代码执行

发布时间:2018-6-27 11:56 标签: Windows 10,文本格式
分享到 0

SpecterOps 公司的研究员 Matt Nelson 指出,Windows 10 中增添的一种新型文件类型格式可被滥用于在用户电脑上执行恶意代码。

这个文件类型是 Windows 10 2015年推出的文件格式 .SettingContent-ms,旨在创建 Windows 10 设置页面的快捷方式,作为经典控制面板选项的替代选择。

SettingContent-ms 能运行恶意代码

所有的 SettingContent-ms 文件均为 XML 文档,其中包含 标签,明确了用户双击快捷方式时将要打开的 Windows 10 设置页面所在的磁盘位置。

Nelson-1.png

但本月初,Nelson 发现他能用本地系统中的任何其它可执行文件替代这个 DeepLink 标签,包括二进制的链接,如允许 shell 命令执行的cmd.exe PowerShell.exe

Nelson-2.png

另外,Nelson 还发现能够链接两个二进制路径并相继执行这两个路径。这就意味着攻击者能够创建充满陷阱的 SettingConent-ms 快捷方式,该快捷方式能够在后台运行恶意代码,然后显示所需 Windows 设置页面,就像什么都没发生过一样。

从网络打开 SettingContent-ms 无警报

诱骗用户打开此类文件似乎也非常容易办到。Nelson 表示他在一个 web 服务器上托管了一个 SettingContent-me 捷径,然后就能在 Windows 10 Windows Defender 未向用户发出警报的情况下下载并运行该快捷方式。他指出,“当文件源自互联网时,它就能在用户点击‘打开’时立即执行。出于某种原因,文件仍然在未向用户发出任何通知或警告的情况下执行。”

Nelson 还通过视频展示了他从远程服务器下载并打开一个 SettingContent-ms 快捷方式。

攻击者能在 Office 文档中隐藏 SettingContent-ms 文件

尽管存在基于 web 的执行向量,但多数用户仍然会意识到打开带有 SettingContent-ms 后缀的文件,很多人此前并未听说过该文件。

Nelson 表示这也并非什么大问题,因为恶意软件作者能够在 Office 功能 OLE 的协助下将 SettingContent-ms 快捷方式内嵌到 Office 文档中。该功能允许 Office 用户将其它文件内嵌在 Office 文档中,目的是改进 Office 对用户的吸引力,但在过去几十年来,它也成为在用户电脑上运行恶意代码的最简单的方法。

微软通过禁止在 OLE 对象中嵌入某些危险文件类型的方式阻击了这一趋势。由于 SettingContent-ms 是一种新的文件类型,因此它并未包含在 Office OLE 文件格式黑名单中。这就意味着恶意软件作者能可靠地通过 SettingConent-ms 文件烈性 Office 文档在用户系统中执行恶意操作。

SettingContent-ms 文件绕过 ASR

除此以外,Nelson 还表示 SettingContent-ms 还绕过了 Windows 10 的一个安全功能“攻击面减少 (ASR)”。ASR 是多种安全规则的集合,在 Windows 10 中是可选项而且默认禁用。用户能够启用其中一个 ASR 规则以阻止 Office 文档开启子进程,而恶意软件利用这一技术从 Office OLE 对象传播到自己的进程中。

在大型企业网络中,系统管理员通常会在所管理的电脑上启用这个 ASR 规则,以阻止用户不慎打开恶意 Office 文档并感染整个公司。

Nelson 表示 SettingContent-ms 文件能绕过这个阻止 Office 触发子进程的 ASR 规则。攻击者的伎俩在于从白名单切允许开启子进程的 Office 应用开始链接 SettingConent-ms DeepLink,之后实施恶意操作。

Nelson-3.png

借此,恶意软件作者能够在安全性最坚固的 Windows 10 电脑上执行代码。

Nelson 联系微软公司但后者表示这并非操作系统中的漏洞问题。虽然它不会在“补丁星期二”紧急更新中予以修复,但很可能 SettingContent-ms 文件会很快终结在 OLE 文件格式黑名单中。

Nelson 公布了关于恶意使用 SettingContent-ms文件的报告,并随附其它系统管理员可复制其研究的恶意 SettingContnt-ms 文件样本。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/windows-settings-shortcuts-can-be-abused-for-code-execution-on-windows-10/
参与讨论,请先 登录 | 注册

用户评论