Windows 10设置快捷方式被滥用进行代码执行
技术支持:0755-88856228
资讯中心 所在位置:首页 >> 资讯中心 >> Windows 10设置快捷方式被滥用进行代码执行

Windows 10设置快捷方式被滥用进行代码执行

出处:www.sun1860.com  分类:资讯中心  发布:2018/7/3 14:24:03  阅读:(0)
摘要:SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。这种文件类型为".SettingContent-ms",这是Windows 10在2015年引入的文件格式。

??

SpecterOps的安全研究员Matt Nelson发现Windows 10中添加的一种文件类型格式可以被攻击者利用,在用户计算机上执行恶意代码。这种文件类型为".SettingContent-ms",这是Windows 10在2015年引入的文件格式。这种文件类型是用来在windows 10设置页面创建快捷方式的。

SettingContent-ms可以运行恶意代码

所有的ettingContent-ms文件与XML文档无异,含有一个< DeepLink >标签。当用户双击快捷方式时,该标签用来指定Windows 10设置页在磁盘上的位置。

本月早些时候,Nelson发现可以用本地系统中的任何可执行文件替换DeepLink标签,包括cmd.exe,PowerShell.exe这样的二进制文件的链接。

之后,Nelson发现可以将这两个二进制文件路径链起来,然后一个接一个地执行。也就是说,攻击者可以创建诱饵SettingContent-ms快捷方式,这些快捷方式可以在后台运行恶意代码,然后显示Windows设置页,就像什么事情都没有发生过一样。

从网络打开SettingContent-ms时没有任何告警

诱骗用户打开这样的文件看起来也很简单。Nelson说他将一个SettingContent-ms快捷方式存放在web服务器上,然后可以在Windows 10和Windows Defender没有告警的情况下下载和运行文件。

Nelson在博客中写道,当文件直接来源于网络时,用户只要点击open(打开)文件就会执行。而且文件是在没有任何告警和通知用户的前提下执行的。

攻击者可以在Office文档中隐藏SettingContent-ms文件

尽管有基于web的执行向量,大多数用户都不会在意打开扩展为SettingContent-ms的文件,因为之前都很少听说。

恶意软件作者还可以将SettingContent-ms快捷方式嵌入到Office文档中,这是在office  Object Linking and Embedding(OLE,对象连接与嵌入)特征的帮助下完成的。

OLE特征允许Office用户将其他文件嵌入到Office文档中。这本来是为了改善Office对用户的粘性,但过去这些年的实践表明,这是在用户计算机上执行恶意代码的最简单方法之一。

Microsoft已经不允许在OLE对象中嵌入一些可能存在危险的文件类型。但因为SettingContent-ms是一种新的文件类型,并不在OLE文件格式黑名单之列。也就是说,恶意软件作者可以靠使用含有SettingContent-ms文件类型的Office文档在用户系统上执行恶意操作。

SettingContent-ms files文件绕过ASR

然而不仅与此。SettingContent-ms还可以绕过Windows 10的安全特征——Attack Surface Reduction(ASR,攻击面减少)。ASR是一系列安全规则的集合,在Windows 10中是可选的,但默认是关闭的。其中ASR规则的一条防止office文档开启子进程。

在大规模企业网络中,系统管理员会在主机上开启ASR规则来防止用户无意间打开恶意office文档,然后感染整个公司网络。

Nelson称SettingContent-ms文件可以绕过ASR规则来防止office产生子进程。这里使用的方法是将SettingContent-ms和DeepLink链起来来启动Office应用,然后运行恶意操作。

通过使用该技术,恶意软件作者可以在加固的Windows 10主机上进行代码执行。

Nelson与微软取得了联系,遗憾的是系统开发者并不认为这是一个操作系统的漏洞。并且在周二的安全更新中并没有修复该漏洞,不过SettingContent-ms文件应该很快就进入OLE文件格式黑名单了。

联系方式
联系方式 深圳市众联达科技有限公司

电话:0755-88856228

手机:15889329885

传真:0755-29578940

Q Q:点击这里给我发消息

地址:深圳市龙华新区和平西路龙军工业区17栋401

深圳市众联达科技有限公司   版权所有:深圳市众联达科技有限公司  深圳市众联达科技有限公司
电话:086-0755-88856228    网址:www.sun1860.com 
地址:深圳市龙华新区和平西路龙军工业区17栋401    ICP备案号:粤ICP备16103267号-1
主营业务: SUN服务器 sun工作站 sun硬盘 sun内存 sun租赁 sun报价 sun维保