Ang SettingContent-ms Files Maaaring Madaling lampasan ang Mga Panuntunan ng OLE at Attack Surface Reduction (ASR)

Balita
Seguridad / Ang SettingContent-ms Files Maaaring Madaling lampasan ang Mga Panuntunan ng OLE at Attack Surface Reduction (ASR) 1 minuto basahin

Kuha ang larawan mula sa B Sleeping Computer



Ang uri ng file ng Windows na '.SettingContent-ms', na unang ipinakilala sa Windows 10 noong 2015 ay mahina laban sa utos na pagpapatupad gamit ang katangian ng DeepLink sa schema na ito-na kung saan mismo ay isang simpleng dokumento ng XML.

Matt Nelson ng Mga specterOps natuklasan at naiulat ang kahinaan na maaaring magamit ng mga umaatake para sa madaling payload upang makakuha ng pag-access na simulate din sa video na ito





Maaaring gamitin ng mga umaatake ang SettingContent-ms file upang hilahin ang mga pag-download mula sa internet na nagtataas ng maraming posibilidad ng malubhang pinsala dahil maaari itong magamit upang mag-download ng mga file na maaaring payagan ang mga pagpapatupad ng malayuang code.



error 0x80070490

Kahit na sa panuntunan ng OLE block ng Opisina 2016 at panuntunan sa Paglikha ng Proseso ng Bata ng ASR na pinapagana ng mananalakay ang OLE block sa pamamagitan ng .SettingsContent-ms file file na sinamahan ng isang whitelisted path sa folder ng Office ay maaaring payagan ang magsasalakay na iwasan ang mga kontrol na ito at magpatupad ng di-makatwirang mga utos tulad ng ipinamalas ni Matt sa blog ng SpectreOps sa pamamagitan ng paggamit ng AppVLP file.

OLE / ASR evasion payload - SpecterOps



Bilang default, ang mga dokumento ng Opisina ay nai-flag bilang MOTW at bubukas sa Protected View, may ilang mga file na pinapayagan pa rin ang OLE at hindi pinalitaw ng Protektadong View. Mainam na ang SettingContent-ms file ay hindi dapat na magpatupad ng anumang file sa labas ng C: Windows ImmersiveControlPanel.

Iminungkahi din ni Matt na i-neuter ang mga format ng file sa pamamagitan ng pagpatay sa mga handler nito sa pamamagitan ng pagtatakda ng 'DelegateExecutto' sa pamamagitan ng registry editor sa HKCR: SettingContent Shell Open Command na walang laman muli - subalit, walang mga garantiya na ang paggawa nito ay hindi masisira ang Windows samakatuwid dapat na likhain ang isang point ng pagpapanumbalik bago mo ito tangkain.