Skróty Ustawień Windowsa 10 pomogą w uruchamianiu złośliwego oprogramowania

Strona główna Aktualności

O autorze

Ustawienia systemu Windows 10 nie zdołały do tej pory w pełni zastąpić klasycznego Panelu Sterowania. Jak właśnie jednak udało się odkryć, mają pewną bardzo interesującą funkcję, której poprzednikowi brakowało. Pozwalają całkiem łatwo uruchamiać złośliwe oprogramowanie. To wszystko dzięki formatowi plików .SettingContent-ms, który służy do tworzenia skrótów do stron Ustawień.

Matt Nelson, pracujący w firmie SpecterOps odkrywca tej ciekawej podatności, przyjrzał się bliżej strukturze plików .SettingContent-ms. To zwykłe pliki XML, które zawierają m.in. znacznik <DeepLink>. Określa on lokalizację pliku, który zostanie otwarty po tym, gdy użytkownik dwukliknie sobie na skrót.

To na co wskazuje <DeepLink> można jednak dowolnie zmienić. Zamiast zwyczajnego control.exe, można np. wywołać powłoki cmd.exe czy PowerShell.exe, a przez nie uruchomić następnie własne polecenia z uprawnieniami zalogowanego użytkownika. Można też pod rząd uruchomić dwie binarki (np. wspomniane control.exe i cmd.exe), by ukryć przed ofiarą, że coś jest nie tak – po kliknięciu zobaczy stronę Ustawień, tak jak Microsoft sobie to zamierzył.

Całkiem ciekawe jest to, że pliki .SettingContent-ms są całkowicie obojętne dla mechanizmów obronnych Windowsa. Można taki uzłośliwiony plik umieścić na swoim serwerze webowym, nakłonić użytkownika do jego pobrania – i proszę, niespodzianka, ani Windows 10, ani Windows Defender nie ostrzegają, że coś jest nie tak. Plik uruchamia to, na co wskazuje <DeepLink> bez jakiegokolwiek ostrzeżenia dla użytkownika.

Oczywiście użytkownicy mogą w tych czasach nie chcieć uruchamiać na swoich Windowsach plików pobranych z Internetu, ale i temu można zaradzić. Jak sprawdził Nelson, skrót .SettingContent-ms osadza się też całkiem dobrze w dokumentach Microsoft Office poprzez mechanizm OLE. Co prawda od jakiegoś czasu większość typów plików uruchamialnych nie może być osadzona przez OLE w plikach Office, ale jakoś o nowym formacie skrótów zapomniano.

To jednak nie koniec atrakcji. Za pomocą tego skrótu można obejść też windowsowe zabezpieczenie Attack Surface Reduction (ASR) – zestaw domyślnie wyłączonych reguł bezpieczeństwa, utwardzających system, ale zarazem ograniczających jego możliwości. Jedną z tych reguł jest popularna w środowiskach korporacyjnych blokada wywoływania procesów potomnych przez dokumenty Office, dzięki której w ogóle nie da się niczego uruchomić z osadzonych w nich przez OLE plików wykonywalnych.

Wystarczy jednak na początku listy wywoływanych procesów przez <DeepLink> wskazać aplikację Office mającą prawo do uruchamiania potomnych procesów, by nie było żadnego problemu z ich uruchomieniem poprzez osadzony w dokumencie skrót.

Już to powinno wystarczyć, by Microsoft poza normalnym cyklem aktualizacji wydał łatkę eliminującą tę groźną przecież lukę. Ale nic z tego. Nelson skontaktował się w lutym tego roku z firmą z Redmond. W czerwcu w odpowiedzi w końcu usłyszał, że to nie jest podatność w systemie operacyjnym. Czy nie jest? Osądźcie sami, na GitHubie dostępny jest przykładowy uzłośliwiony plik. Uruchamia kalkulator, ale przecież mógłby znacznie gorsze rzeczy uruchomić.

Jeśli chcecie się więc zabezpieczyć, musicie zrobić to sami. Nelson sugeruje, że można to zrobić eliminując uchwyt plików .SettingContent-ms. W tym celu należy wyczyścić za pomocą edytora Rejestru zawartość klucza DelegateExecute w gałęzi HKCR:\SettingContent\Shell\Open\Command. Nie ma jednak gwarancji, że nie popsuje to Windowsa 10 – robicie to na własną odpowiedzialność.

© dobreprogramy