Imagine preluată de la Bleeping Computer
Tipul de fișier Windows „.SettingContent-ms”, introdus inițial în Windows 10 în 2015, este vulnerabil la executarea comenzilor folosind atributul DeepLink din schema sa - care în sine este un document XML simplu.
Matt Nelson din SpecterOps a descoperit și raportat vulnerabilitatea care poate fi utilizată de atacatori pentru o sarcină utilă ușoară pentru a obține acces, de asemenea, simulată în acest videoclip
Atacatorii pot folosi fișierul SettingContent-ms pentru a extrage descărcări de pe internet, ceea ce ridică mai multe posibilități de daune grave, deoarece poate fi folosit pentru a descărca fișiere care pot permite executarea codului la distanță.
Chiar și cu regula de blocare OLE a Office 2016 și regula de creare a procesului copil ASR activată, atacatorul poate sustrage blocul OLE prin fișierele de fișiere .SettingsContent-ms combinate cu o cale albă din folderul Office poate permite atacatorului să ocolească aceste controale și să execute arbitrar comenzi așa cum a demonstrat Matt pe blogul SpectreOps folosind fișierul AppVLP.
Sarcina utilă de evaziune OLE / ASR - SpecterOps
În mod implicit, documentele Office sunt marcate ca MOTW și se deschid în Vizualizare protejată, există anumite fișiere care permit încă OLE și nu sunt declanșate de Vizualizarea protejată. În mod ideal, fișierul SettingContent-ms nu ar trebui să execute niciun fișier în afara C: Windows ImmersiveControlPanel.
Matt sugerează, de asemenea, să sterilizați formatele de fișiere prin uciderea handlerelor sale prin setarea „DelegateExecute” prin editorul de registry din HKCR: SettingContent Shell Open Command să fie din nou gol - totuși, nu există garanții că acest lucru nu va rupe Windows, prin urmare înainte de a încerca acest lucru, trebuie creat un punct de restaurare.
