首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Windows 10设置快捷方式被滥用进行代码执行

导语:SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。

SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。这种文件类型为".SettingContent-ms",这是Windows 10在2015年引入的文件格式。这种文件类型是用来在windows 10设置页面创建快捷方式的。

SettingContent-ms可以运行恶意代码

所有的ettingContent-ms文件与XML文档无异,含有一个标签。当用户双击快捷方式时,该标签用来指定Windows 10设置页在磁盘上的位置。

之后,Nelson发现可以将这两个二进制文件路径链起来,然后一个接一个地执行。也就是说,攻击者可以创建诱饵SettingContent-ms快捷方式,这些快捷方式可以在后台运行恶意代码,然后显示Windows设置页,就像什么事情都没有发生过一样。

从网络打开SettingContent-ms时没有任何告警

诱骗用户打开这样的文件看起来也很简单。Nelson说他将一个SettingContent-ms快捷方式存放在web服务器上,然后可以在Windows 10和Windows Defender没有告警的情况下下载和运行文件。

Nelson在博客中写道,当文件直接来源于网络时,用户只要点击open(打开)文件就会执行。而且文件是在没有任何告警和通知用户的前提下执行的。

攻击者可以在Office文档中隐藏SettingContent-ms文件

尽管有基于web的执行向量,大多数用户都不会在意打开扩展为SettingContent-ms的文件,因为之前都很少听说。

恶意软件作者还可以将SettingContent-ms快捷方式嵌入到Office文档中,这是在office Object Linking and Embedding(OLE,对象连接与嵌入)特征的帮助下完成的。

OLE特征允许Office用户将其他文件嵌入到Office文档中。这本来是为了改善Office对用户的粘性,但过去这些年的实践表明,这是在用户计算机上执行恶意代码的最简单方法之一。

Microsoft已经不允许在OLE对象中嵌入一些可能存在危险的文件类型。但因为SettingContent-ms是一种新的文件类型,并不在OLE文件格式黑名单之列。也就是说,恶意软件作者可以靠使用含有SettingContent-ms文件类型的Office文档在用户系统上执行恶意操作。

SettingContent-ms files文件绕过ASR

然而不仅与此。SettingContent-ms还可以绕过Windows 10的安全特征——Attack Surface Reduction(ASR,攻击面减少)。ASR是一系列安全规则的集合,在Windows 10中是可选的,但默认是关闭的。其中ASR规则的一条防止office文档开启子进程。

在大规模企业网络中,系统管理员会在主机上开启ASR规则来防止用户无意间打开恶意office文档,然后感染整个公司网络。

Nelson称SettingContent-ms文件可以绕过ASR规则来防止office产生子进程。这里使用的方法是将SettingContent-ms和DeepLink链起来来启动Office应用,然后运行恶意操作。

通过使用该技术,恶意软件作者可以在加固的Windows 10主机上进行代码执行。

Nelson与微软取得了联系,遗憾的是系统开发者并不认为这是一个操作系统的漏洞。并且在周二的安全更新中并没有修复该漏洞,不过SettingContent-ms文件应该很快就进入OLE文件格式黑名单了。

预防方法见https://posts.specterops.io/the-tale-of-settingcontent-ms-files-f1ea253e4d39。

本文翻译自:https://www.bleepingcomputer.com/news/security/windows-settings-shortcuts-can-be-abused-for-code-execution-on-windows-10/

原文地址: http://www.4hou.com/technology/12268.html

安全圈综合整理 如有侵权请联系删除

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180702A15NB100?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券