Dokładanie nowych cegiełek do systemu operacyjnego lub aplikacji zawsze wiąże się z ryzykiem wprowadzenia nowych błędów i podatności. Te pojawiły się w aplikacji Ustawienia w Windows 10 za sprawą nowego typu pliku, z założenia umożliwiającego tworzenie skrótów do stron w Ustawieniach. Wykryto jednak, że ".SettingContent-ms" pozwala na znacznie więcej, niż sugerowały założenia, a Microsoft nic sobie z tego nie robi.
Matt Nelson, badacz zabezpieczeń z SpecterOps, zauważył nieco zbyt elastyczny charakter plików ".SettingContent-ms". Format ten zadebiutował w Windows 10, pozwalając tworzyć skróty do pojedynczych stron w Ustawieniach. Są to proste pliki XML, zawierające ścieżki do binarek ustawień. Ciekawie zaczyna się robić, gdy eksperymentujemy z zawartością tagu <DeepLink>. Element ten przyjmuje dowolną binarkę z parametrami i ją wykonuje. Gdy np. umieścimy tam ciąg cmd.exe /c calc.exe, po kliknięciu pliku włączy się Kalkulator. Co ciekawe, procesowi temu nie towarzyszy żadne okienko dialogowe, wymagające potwierdzenia od użytkownika. Windows wykonuje polecenie bezpośrednio.
Wykonujący natychmiastowe polecenie skrót - super, ale pójdźmy dalej. Nelson sprawdził, co się stanie, jeśli plik o rozszerzeniu ".SettingContent-ms" znajdzie się gdzieś w Internecie i będzie do niego prowadził jakiś link. Cóż, wystarczy go otworzyć, a plik wykona arbitralnie polecenie w powłoce, nie wyświetlając jakichkolwiek ostrzeżeń. Microsoft nie zabezpieczył pod tym względem również pakietu Office. Przykładowo, Office 2016 blokuje z góry ustaloną listę "złych typów" plików, gdy te zostaną osadzone w ramach Object Linking and Embedding (OLE). I tu znów nie ma zaskoczenia - ".SettingContent-ms" nie znajduje się na tej liście. Jeśli użytkownik pobierze np. dokument Worda, wystarczy, że kliknie "Otwórz" w okienku dialogowym, a potencjalnie złośliwe polecenie zostanie wykonane bez ostrzeżenia.
Zastanawiające jest, dlaczego Microsoft nie umieścił nowego typu pliku na czarnej liście, która zawiera rozszerzenia, wymagające głębszej analizy, gdy pochodzą z Internetu lub zostały osadzone w dokumentach Office. Otworzenie Kalkulatora to oczywiście tylko banalny przykład. W rzeczywistości skrypt ma uprawnienia do wywoływania dowolnych złożonych poleceń w CMD i PowerShell, pozostawiając użytkownika w błogiej nieświadomości.
341f31d.png)