Uzłośliwione skróty do Ustawień Windowsa 10 już służą pobieraniu szpiegowskiego trojana

To nie błąd, to nowa funkcjonalność, więc nie ma czego tunaprawiać – z takiej perspektywy spojrzał Microsoft na ujawnionąniedawno możliwość nadużycia plików skrótów do stron UstawieńWindowsa 10. Jak odkrył niezależny badacz, za ich pomocą możnauruchomić dowolne programy, a nawet całą sekwencję systemowychpoleceń. Wystarczył tydzień, by producenci złośliwegooprogramowania tę nową funkcjonalność zaczęli wykorzystywaćjako nowy wektor infekcji najbezpieczniejszego systemuoperacyjnego na świecie.

Mattowi Nelsonowi niczego zarzucić nie można w kwestiiodpowiedzialnego ujawnianiazagrożeń. Swoje odkrycie przedstawił Microsoftowi w lutym tegoroku, by w czerwcu dowiedzieć się, że możliwość uruchamianiadowolnych programów przez wskazanie ich XML-owym znacznikiem<DeepLink> w plikach skrótów .SettingContent-ms nie jestbłędem.

Niespełna dzień po publicznym ujawnieniu zagrożenia zaczęłypojawiać się ulepszone wersje przykładowego exploita Nelsona.Dzień po dniu do serwisu VirusTotal wgrywano nowe próbki złośliwegokodu. Początkowo były to tylko prymitywne testy. Około dwóchtygodni zajęło skuteczne uzbrojenie .SettingContent-ms.

"Quotation_Request_Sheet.SettingContent-ms"#DeepLink @enigma0x3 method 0 static AV detections in VT Uses PowerShell to download & launch hxxps://lanitida[.]net/LAW231.exe as %APPDATA%\Rundll32.exe Uploaded just now (2 min ago): https://t.co/2OC6vzrXyw pic.twitter.com/84oTsnE7dm

— Nick Carr (@ItsReallyNick) 2 lipca 2018Śledzący tę sprawę Nick Carr z firmy FireEye pierwszy trafiłna szkodnika, który jak do tej pory rozpoznawany jest jedynieprzez 10 z 60 silników antywirusowych dostępnych przez VirusTotal.Jest to downloader trojana Remcos, instalującego w systemienarzędzie zdalnego dostępu. Za pomocą ujawnionej technikigłębokiego linkowania w skrótach ustawień uruchamia onPowerShella, każąc mu pobrać plik z trojanem, a następnieuruchomić go w procesie rundll32.exe.

Ujawnienie tego zagrożenia wywołało dyskusjęw branży – czy to, że Microsoft umył ręce i odmówiłwydania łatki usprawiedliwia takie ujawnienie nowego wektora atakuna użytkowników Windowsa 10? Zdania są podzielone, jedni mówiąże lepiej takie techniki utrzymywać w tajemnicy, inni że wsadzaniegłowy w piasek nie gwarantuje bezpieczeństwa.

A really interesting side effect of releasing the tradecraft is funneling actors to predictable behaviors, that are generally documented and easily studied after release. Lures threats to predictable detection points. I know there is risk and other nuance, but somewhat helpful

— Justin Warner (@sixdub) 3 lipca 2018Justin Warner z firmy ICEBRG zaprezentował jednak bardzowyróżniające się, ciekawe stanowisko: uznał, że ujawnianietakich technik prowadzi do zachęcania napastników doprzewidywalnych zachowań, które później łatwo badać idokumentować. A to jest mimo towarzyszącego temu ryzyka dla branżypomocne. Słowa niewątpliwie rozsądne… ale zarazem bezlitosnewobec zwykłych użytkowników, którzy padną ofiarą nowejfunkcjonalności Microsoftu. Może jednak nie potrzebujemy możliwościuruchamiania poleceń PowerShella przez skróty do Ustawień Windowsa10?