SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。这种文件类型为".SettingContent-ms",这是Windows 10在2015年引入的文件格式。这种文件类型是用来在windows 10设置页面创建快捷方式的。
SettingContent-ms可以运行恶意代码
所有的ettingContent-ms文件与XML文档无异,含有一个< DeepLink >标签。当用户双击快捷方式时,该标签用来指定Windows 10设置页在磁盘上的位置。
本月早些时候,Nelson发现可以用本地系统中的任何可执行文件替换DeepLink标签,包括cmd.exe,PowerShell.exe这样的二进制文件的链接。
之后,Nelson发现可以将这两个二进制文件路径链起来,然后一个接一个地执行。也就是说,攻击者可以创建诱饵SettingContent-ms快捷方式,这些快捷方式可以在后台运行恶意代码,然后显示Windows设置页,就像什么事情都没有发生过一样。
从网络打开SettingContent-ms时没有任何告警
诱骗用户打开这样的文件看起来也很简单。Nelson说他将一个SettingContent-ms快捷方式存放在web服务器上,然后可以在Windows 10和Windows Defender没有告警的情况下下载和运行文件。
Nelson在博客中写道,当文件直接来源于网络时,用户只要点击open(打开)文件就会执行。而且文件是在没有任何告警和通知用户的前提下执行的。
攻击者可以在Office文档中隐藏SettingContent-ms文件
尽管有基于web的执行向量,大多数用户都不会在意打开扩展为SettingContent-ms的文件,因为之前都很少听说。
恶意软件作者还可以将SettingContent-ms快捷方式嵌入到Office文档中,这是在office Object Linking and Embedding(OLE,对象连接与嵌入)特征的帮助下完成的。
OLE特征允许Office用户将其他文件嵌入到Office文档中。这本来是为了改善Office对用户的粘性,但过去这些年的实践表明,这是在用户计算机上执行恶意代码的最简单方法之一。
Microsoft已经不允许在OLE对象中嵌入一些可能存在危险的文件类型。但因为SettingContent-ms是一种新的文件类型,并不在OLE文件格式黑名单之列。也就是说,恶意软件作者可以靠使用含有SettingContent-ms文件类型的Office文档在用户系统上执行恶意操作。
SettingContent-ms files文件绕过ASR
然而不仅与此。SettingContent-ms还可以绕过Windows 10的安全特征——Attack Surface Reduction(ASR,攻击面减少)。ASR是一系列安全规则的集合,在Windows 10中是可选的,但默认是关闭的。其中ASR规则的一条防止office文档开启子进程。
在大规模企业网络中,系统管理员会在主机上开启ASR规则来防止用户无意间打开恶意office文档,然后感染整个公司网络。
Nelson称SettingContent-ms文件可以绕过ASR规则来防止office产生子进程。这里使用的方法是将SettingContent-ms和DeepLink链起来来启动Office应用,然后运行恶意操作。
通过使用该技术,恶意软件作者可以在加固的Windows 10主机上进行代码执行。
Nelson与微软取得了联系,遗憾的是系统开发者并不认为这是一个操作系统的漏洞。并且在周二的安全更新中并没有修复该漏洞,不过SettingContent-ms文件应该很快就进入OLE文件格式黑名单了。