Wykryto poważną lukę bezpieczeństwa w nowym formacie pliku w Windows 10

Wykryto poważną lukę bezpieczeństwa w nowym formacie pliku w Windows 10

Krzysztof Sulikowski
17:25
27.06.2018
2 komentarze
575 wyświetleń

Dokładanie nowych cegiełek do systemu operacyjnego lub aplikacji zawsze wiąże się z ryzykiem wprowadzenia nowych błędów i podatności. Te pojawiły się w aplikacji Ustawienia w Windows 10 za sprawą nowego typu pliku, z założenia umożliwiającego tworzenie skrótów do stron w Ustawieniach. Wykryto jednak, że ".SettingContent-ms" pozwala na znacznie więcej, niż sugerowały założenia, a Microsoft nic sobie z tego nie robi.

.SettingContent-ms

Matt Nelson, badacz zabezpieczeń z SpecterOps, zauważył nieco zbyt elastyczny charakter plików ".SettingContent-ms". Format ten zadebiutował w Windows 10, pozwalając tworzyć skróty do pojedynczych stron w Ustawieniach. Są to proste pliki XML, zawierające ścieżki do binarek ustawień. Ciekawie zaczyna się robić, gdy eksperymentujemy z zawartością tagu <DeepLink>. Element ten przyjmuje dowolną binarkę z parametrami i ją wykonuje. Gdy np. umieścimy tam ciąg cmd.exe /c calc.exe, po kliknięciu pliku włączy się Kalkulator. Co ciekawe, procesowi temu nie towarzyszy żadne okienko dialogowe, wymagające potwierdzenia od użytkownika. Windows wykonuje polecenie bezpośrednio.

Wykonujący natychmiastowe polecenie skrót - super, ale pójdźmy dalej. Nelson sprawdził, co się stanie, jeśli plik o rozszerzeniu ".SettingContent-ms" znajdzie się gdzieś w Internecie i będzie do niego prowadził jakiś link. Cóż, wystarczy go otworzyć, a plik wykona arbitralnie polecenie w powłoce, nie wyświetlając jakichkolwiek ostrzeżeń. Microsoft nie zabezpieczył pod tym względem również pakietu Office. Przykładowo, Office 2016 blokuje z góry ustaloną listę "złych typów" plików, gdy te zostaną osadzone w ramach Object Linking and Embedding (OLE). I tu znów nie ma zaskoczenia - ".SettingContent-ms" nie znajduje się na tej liście. Jeśli użytkownik pobierze np. dokument Worda, wystarczy, że kliknie "Otwórz" w okienku dialogowym, a potencjalnie złośliwe polecenie zostanie wykonane bez ostrzeżenia.

Zastanawiające jest, dlaczego Microsoft nie umieścił nowego typu pliku na czarnej liście, która zawiera rozszerzenia, wymagające głębszej analizy, gdy pochodzą z Internetu lub zostały osadzone w dokumentach Office. Otworzenie Kalkulatora to oczywiście tylko banalny przykład. W rzeczywistości skrypt ma uprawnienia do wywoływania dowolnych złożonych poleceń w CMD i PowerShell, pozostawiając użytkownika w błogiej nieświadomości.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://posts.specterops.io/the-tale-of-settingcontent-ms-files-f1ea253e4d39

Polecamy również w kategorii Bezpieczeństwo

Komentarze

  • Viktus 12:22 28.06.2018

    Moim zdaniem, ten format nie jest taki niebezpieczny. Nie może zrobić nic czego nie może zrobić zwykły skrót. Otwiera wszystko na poziomie zwykłego użytkownika, więc komendami CMD, PowerShell niewiele można zrobić. Plik, który ma wywołać, również musi być już pobrany i jeżeli jest to wirus to będzie on skanowany przez Defendera. Jedyne co można by poprawić to ostrzeżenie dotyczące tego, że plik pochodzi z Internetu.

  • Viktus 12:22 28.06.2018

    Moim zdaniem, ten format nie jest taki niebezpieczny. Nie może zrobić nic czego nie może zrobić zwykły skrót. Otwiera wszystko na poziomie zwykłego użytkownika, więc komendami CMD, PowerShell niewiele można zrobić. Plik, który ma wywołać, również musi być już pobrany i jeżeli jest to wirus to będzie on skanowany przez Defendera. Jedyne co można by poprawić to ostrzeżenie dotyczące tego, że plik pochodzi z Internetu.

Skomentuj

Autor