Skróty Ustawień Windowsa 10 pomogą w uruchamianiu złośliwego oprogramowania
Ustawienia systemu Windows 10 nie zdołały do tej pory w pełnizastąpić klasycznego Panelu Sterowania. Jak właśnie jednak udałosię odkryć, mają pewną bardzo interesującą funkcję, którejpoprzednikowi brakowało. Pozwalają całkiem łatwo uruchamiaćzłośliwe oprogramowanie. To wszystko dzięki formatowi plików.SettingContent-ms, który służy do tworzenia skrótów do stronUstawień.
Matt Nelson, pracujący w firmie SpecterOps odkrywca tej ciekawejpodatności, przyjrzał się bliżej strukturze plików.SettingContent-ms. To zwykłe pliki XML, które zawierają m.in.znacznik <DeepLink>. Określa on lokalizację pliku, któryzostanie otwarty po tym, gdy użytkownik dwukliknie sobie na skrót.
To na co wskazuje <DeepLink> można jednak dowolnie zmienić.Zamiast zwyczajnego control.exe, można np. wywołać powłokicmd.exe czy PowerShell.exe, a przez nie uruchomić następnie własnepolecenia z uprawnieniami zalogowanego użytkownika. Można też podrząd uruchomić dwie binarki (np. wspomniane control.exe i cmd.exe),by ukryć przed ofiarą, że coś jest nie tak – po kliknięciuzobaczy stronę Ustawień, tak jak Microsoft sobie to zamierzył.
Całkiem ciekawe jest to, że pliki .SettingContent-ms sącałkowicie obojętne dla mechanizmów obronnych Windowsa. Możnataki uzłośliwiony plik umieścić na swoim serwerze webowym,nakłonić użytkownika do jego pobrania – i proszę,niespodzianka, ani Windows 10, ani Windows Defender nie ostrzegają,że coś jest nie tak. Plik uruchamia to, na co wskazuje <DeepLink>bez jakiegokolwiek ostrzeżenia dla użytkownika.
SettingContent Hosted Execution
Oczywiście użytkownicy mogą w tych czasach nie chciećuruchamiać na swoich Windowsach plików pobranych z Internetu, ale itemu można zaradzić. Jak sprawdził Nelson, skrót.SettingContent-ms osadza się też całkiem dobrze w dokumentachMicrosoft Office poprzez mechanizm OLE. Co prawda od jakiegoś czasuwiększość typów plików uruchamialnych nie może być osadzonaprzez OLE w plikach Office, ale jakoś o nowym formacie skrótówzapomniano.
To jednak nie koniec atrakcji. Za pomocą tego skrótu możnaobejść też windowsowe zabezpieczenie Attack Surface Reduction(ASR) – zestaw domyślnie wyłączonych reguł bezpieczeństwa,utwardzających system, ale zarazem ograniczających jego możliwości.Jedną z tych reguł jest popularna w środowiskach korporacyjnychblokada wywoływania procesów potomnych przez dokumenty Office,dzięki której w ogóle nie da się niczego uruchomić z osadzonychw nich przez OLE plików wykonywalnych.
Wystarczy jednak na początku listy wywoływanych procesów przez<DeepLink> wskazać aplikację Office mającą prawo douruchamiania potomnych procesów, by nie było żadnego problemu zich uruchomieniem poprzez osadzony w dokumencie skrót.
Już to powinno wystarczyć, by Microsoft poza normalnym cyklemaktualizacji wydał łatkę eliminującą tę groźną przecieżlukę. Ale nic z tego. Nelson skontaktował się w lutym tego roku zfirmą z Redmond. W czerwcu w odpowiedzi w końcu usłyszał, że tonie jest podatność w systemie operacyjnym. Czy nie jest? Osądźciesami, na GitHubie dostępny jest przykładowy uzłośliwionyplik. Uruchamia kalkulator, ale przecież mógłby znaczniegorsze rzeczy uruchomić.
Jeśli chcecie się więc zabezpieczyć, musicie zrobić to sami.Nelson sugeruje,że można to zrobić eliminując uchwyt plików .SettingContent-ms.W tym celu należy wyczyścić za pomocą edytora Rejestru zawartośćklucza DelegateExecute w gałęziHKCR:\SettingContent\Shell\Open\Command. Nie ma jednak gwarancji, żenie popsuje to Windowsa 10 – robicie to na własnąodpowiedzialność.