Microsoft blokuje pliki .SettingContent-ms w Office 365

Przemysław Kocięcki
Microsoft blokuje pliki .SettingContent-ms w Office 365

Niedawno na łamach strony grupy SpecterOps mogliśmy przeczytać o nowym sposobie uruchamiania kodu bez ostrzeżenia (klik). Kluczem do udanego ataku było wykorzystanie nowego w Windows 10 rozszerzenia plików - .SettingContent-ms. Rozszerzenie to służy do tworzenia skrótów do ustawień systemu Windows, co samo w sobie nie brzmi groźnie. Sam plik również nie wygląda podejrzanie - ot, zwykły XML. Problem w tym, że plik może otworzyć inny plik bez wcześniejszego pytania o zgodę na otwarcie - chodzi o tag DeepLink w pliku. Wartość tego pola można spreparować tak, by przykładowo za pomocą odpowiedniej komendy pobrać złośliwe oprogramowanie z internetu, a stąd już tylko krok do właściwej infekcji.

Do uruchomienia spreparowanego pliku ustawień wykorzystywano funkcjonalność obecną w programach Microsoft Office - osadzanie innych plików w dokumentach pakietu Office. Wystarczyło więc osadzić plik .SettingContent-ms w dokumencie Office (np. w pliku Word) i sprawić, by ofiara pobrała taki niewinnie wyglądający plik, a następnie go otworzyła. W tym momencie pojawiał się monit o konieczności pobrania brakującego pliku. Po akceptacji, w przeglądarce pojawiało się standardowe pytanie - czy zapisać plik na dysku, czy od razu otworzyć. Co ciekawe, taki plik uruchamia się bez dodatkowego potwierdzenia, a tym samym uruchamia się też komenda, zawarta w złośliwym pliku ustawień.

Ze względów bezpieczeństwa, Office blokował niektóre, potencjalnie niebezpieczne rozszerzenia przed osadzaniem, jednak .SettingContent-ms nie było na czarnej liście. Dziś się to zmieniło i rozszerzenie trafiło na listę blokowanych plików - przynajmniej w usłudze Office 365.

Blog Comments powered by Disqus.