Windows 10设置快捷方式被滥用进行代码执行

服务器
SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。这种文件类型为".SettingContent-ms",这是Windows 10在2015年引入的文件格式。

SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。这种文件类型为".SettingContent-ms",这是Windows 10在2015年引入的文件格式。这种文件类型是用来在windows 10设置页面创建快捷方式的。

SettingContent-ms可以运行恶意代码

所有的ettingContent-ms文件与XML文档无异,含有一个< DeepLink >标签。当用户双击快捷方式时,该标签用来指定Windows 10设置页在磁盘上的位置。

本月早些时候,Nelson发现可以用本地系统中的任何可执行文件替换DeepLink标签,包括cmd.exe,PowerShell.exe这样的二进制文件的链接。

之后,Nelson发现可以将这两个二进制文件路径链起来,然后一个接一个地执行。也就是说,攻击者可以创建诱饵SettingContent-ms快捷方式,这些快捷方式可以在后台运行恶意代码,然后显示Windows设置页,就像什么事情都没有发生过一样。 

从网络打开SettingContent-ms时没有任何告警

诱骗用户打开这样的文件看起来也很简单。Nelson说他将一个SettingContent-ms快捷方式存放在web服务器上,然后可以在Windows 10和Windows Defender没有告警的情况下下载和运行文件。

Nelson在博客中写道,当文件直接来源于网络时,用户只要点击open(打开)文件就会执行。而且文件是在没有任何告警和通知用户的前提下执行的。

攻击者可以在Office文档中隐藏SettingContent-ms文件

尽管有基于web的执行向量,大多数用户都不会在意打开扩展为SettingContent-ms的文件,因为之前都很少听说。

恶意软件作者还可以将SettingContent-ms快捷方式嵌入到Office文档中,这是在office  Object Linking and Embedding(OLE,对象连接与嵌入)特征的帮助下完成的。

OLE特征允许Office用户将其他文件嵌入到Office文档中。这本来是为了改善Office对用户的粘性,但过去这些年的实践表明,这是在用户计算机上执行恶意代码的最简单方法之一。

Microsoft已经不允许在OLE对象中嵌入一些可能存在危险的文件类型。但因为SettingContent-ms是一种新的文件类型,并不在OLE文件格式黑名单之列。也就是说,恶意软件作者可以靠使用含有SettingContent-ms文件类型的Office文档在用户系统上执行恶意操作。

SettingContent-ms files文件绕过ASR

然而不仅与此。SettingContent-ms还可以绕过Windows 10的安全特征——Attack Surface Reduction(ASR,攻击面减少)。ASR是一系列安全规则的集合,在Windows 10中是可选的,但默认是关闭的。其中ASR规则的一条防止office文档开启子进程。

在大规模企业网络中,系统管理员会在主机上开启ASR规则来防止用户无意间打开恶意office文档,然后感染整个公司网络。

Nelson称SettingContent-ms文件可以绕过ASR规则来防止office产生子进程。这里使用的方法是将SettingContent-ms和DeepLink链起来来启动Office应用,然后运行恶意操作。

通过使用该技术,恶意软件作者可以在加固的Windows 10主机上进行代码执行。

Nelson与微软取得了联系,遗憾的是系统开发者并不认为这是一个操作系统的漏洞。并且在周二的安全更新中并没有修复该漏洞,不过SettingContent-ms文件应该很快就进入OLE文件格式黑名单了。

责任编辑:武晓燕 来源: 嘶吼专业版
相关推荐

2020-02-07 11:15:30

Windows 10快捷方式Windows

2019-12-13 09:45:38

Windows 10PowerToysWindows

2021-04-22 15:09:35

iOS快捷方式苹果

2009-08-28 14:57:40

C#设置快捷方式

2010-01-14 09:06:10

Windows 7删除任务栏

2011-09-05 14:17:07

UbuntuWindows键

2020-01-15 13:50:29

桌面快捷方式Windows 10WiFi网络

2009-08-29 08:34:40

Windows 7快捷方式锁定

2021-01-15 09:49:06

Windows10X微软应用

2021-02-22 07:48:35

Excel数据分析快捷方式

2015-08-31 10:14:40

2021-01-15 18:26:47

Windows 10Windows操作系统

2020-12-22 18:47:09

Windows 10Windows操作系统

2009-12-08 12:45:17

Windows 7快捷

2016-10-21 10:51:53

Windows快捷程序

2009-08-28 14:48:05

C#创建快捷方式

2009-11-05 10:38:05

Visual Stud

2023-01-15 17:30:00

微软Windows 10

2022-01-03 16:18:01

Windows 11Windows微软

2019-05-20 12:40:46

UbuntuLinux桌面应用
点赞
收藏

51CTO技术栈公众号