Uzłośliwione skróty do Ustawień Windowsa 10 już służą pobieraniu szpiegowskiego trojana

Strona główna Aktualności

O autorze

To nie błąd, to nowa funkcjonalność, więc nie ma czego tu naprawiać – z takiej perspektywy spojrzał Microsoft na ujawnioną niedawno możliwość nadużycia plików skrótów do stron Ustawień Windowsa 10. Jak odkrył niezależny badacz, za ich pomocą można uruchomić dowolne programy, a nawet całą sekwencję systemowych poleceń. Wystarczył tydzień, by producenci złośliwego oprogramowania tę nową funkcjonalność zaczęli wykorzystywać jako nowy wektor infekcji najbezpieczniejszego systemu operacyjnego na świecie.

Mattowi Nelsonowi niczego zarzucić nie można w kwestii odpowiedzialnego ujawniania zagrożeń. Swoje odkrycie przedstawił Microsoftowi w lutym tego roku, by w czerwcu dowiedzieć się, że możliwość uruchamiania dowolnych programów przez wskazanie ich XML-owym znacznikiem <DeepLink> w plikach skrótów .SettingContent-ms nie jest błędem.

Niespełna dzień po publicznym ujawnieniu zagrożenia zaczęły pojawiać się ulepszone wersje przykładowego exploita Nelsona. Dzień po dniu do serwisu VirusTotal wgrywano nowe próbki złośliwego kodu. Początkowo były to tylko prymitywne testy. Około dwóch tygodni zajęło skuteczne uzbrojenie .SettingContent-ms.

Śledzący tę sprawę Nick Carr z firmy FireEye pierwszy trafił na szkodnika, który jak do tej pory rozpoznawany jest jedynie przez 10 z 60 silników antywirusowych dostępnych przez VirusTotal. Jest to downloader trojana Remcos, instalującego w systemie narzędzie zdalnego dostępu. Za pomocą ujawnionej techniki głębokiego linkowania w skrótach ustawień uruchamia on PowerShella, każąc mu pobrać plik z trojanem, a następnie uruchomić go w procesie rundll32.exe.

Ujawnienie tego zagrożenia wywołało dyskusję w branży – czy to, że Microsoft umył ręce i odmówił wydania łatki usprawiedliwia takie ujawnienie nowego wektora ataku na użytkowników Windowsa 10? Zdania są podzielone, jedni mówią że lepiej takie techniki utrzymywać w tajemnicy, inni że wsadzanie głowy w piasek nie gwarantuje bezpieczeństwa.

Justin Warner z firmy ICEBRG zaprezentował jednak bardzo wyróżniające się, ciekawe stanowisko: uznał, że ujawnianie takich technik prowadzi do zachęcania napastników do przewidywalnych zachowań, które później łatwo badać i dokumentować. A to jest mimo towarzyszącego temu ryzyka dla branży pomocne. Słowa niewątpliwie rozsądne… ale zarazem bezlitosne wobec zwykłych użytkowników, którzy padną ofiarą nowej funkcjonalności Microsoftu. Może jednak nie potrzebujemy możliwości uruchamiania poleceń PowerShella przez skróty do Ustawień Windowsa 10?

© dobreprogramy