.SettingContent-ms : non è un buco ma una porta sempre aperta

Quando per Microsoft non ci sono problemi

settingscontent-ms
settingscontent-ms

E’ vecchiotta (2 Mesi)  la notizia sulla vulnerabilità (negata da Microsoft) su  .SettingContent-ms  che affligge Microsoft 10 ma qualcuno già la sta utilizzando.

Vediamo di che si tratta. 

All’inizio di giugno, il ricercatore di SpecterOps , Matt Nelson , ha scoperto che il file .SettingContent-ms potrebbe essere utilizzato in modo improprio per aggirare le regole di blocco  (ASR) di Microsoft ed eseguire codice dannoso sui computer delle vittime.

.SettingContent-ms è semplicemente file XML che consente agli utenti di creare collegamenti alle pagine di impostazione di Windows 10. Esempio: Un utente può creare un collegamento per aprire il Pannello di controllo. I file contengono un tag <DeepLink> che prende qualsiasi binario con i parametri ed esegue. Questo può causare problemi perché un aggressore può creare un file .SettingContent-ms con un elemento DeepLink che punta a un binario come cmd.exe o PowerShell.exe, che fornisce loro l’esecuzione del comando shell. Anche aprire questi file sembra un’operazione facile per gli utenti. Nelson dice di aver ospitato un collegamento a SettingContent-ms su un server web, e di essere stato in grado di scaricarlo ed eseguirlo senza che Windows 10 o Windows Defender avvisassero l’utente.  Quando questo file proviene direttamente da Internet, viene eseguito non appena l’utente fa clic su ‘open'”, scrive Nelson nella sua ricerca. “Per un motivo o per l’altro, il file continua ad essere eseguito senza alcuna notifica o avviso all’utente”.

Per Microsoft

Ma non è tutto. Nelson dice anche che SettingContent-ms bypassa anche una funzione di sicurezza di Windows 10 chiamata Attack Surface Reduction (ASR).

ASR è una raccolta di varie regole di sicurezza. Sono opzionali in Windows 10 e sono disabilitati per impostazione predefinita. Una delle molte regole ASR che gli utenti possono abilitare può impedire documenti di Office di avviare processi figlio, una tecnica utilizzata dal malware per diffondersi da un oggetto Office OLE al proprio processo.

Nelle reti aziendali di grandi dimensioni, gli amministratori di sistema spesso abilitano questa regola ASR sui PC che gestiscono per impedire agli utenti di aprire accidentalmente documenti dannosi di Office e infettare l’intera azienda.

Nelson dice che SettingContent-ms file possono bypassare questa regola ASR che impedisce Office di generare processi figlio. Il trucco è quello di concatenare le SettingContent-ms DeepLink per iniziare con un’applicazione di Office che è nella lista bianca e che può avviare processi figlio, e poi continuare da lì eseguendo le operazioni dannose in seguito.

Con una “modifica” del file, e’ possibile lanciare in sequanza uoa o più applicazioni, quindi si potrebbe prima lanciare l’applicazione Malware e poi la reale e l’utente non avrebbe nessun sentore di quello che sta accadendo.

Questo file si potrebbe sscaricare da internet, ma ancor più facilmente modificare a manina se si ha accesso al computer.

Purtroppo questa vulnerabilità non verrà mai presa in considerazione da Microsoft dato che non la reputa tale.

A proposito, quando cliccate su Pannello di Controllo è sicuro che aprite solo il Pannello ? Mi sa che dovete controllare !

 

P.S.

Ho scritto questo articolo perchè ho trovato un .SettingContent-ms modificato su un computer di un amico. Non lanciava nulla di pericoloso , solo un miner , ma avrebbe potuto lanciare qualsiasi cosa ! Buon Windows 10 a tutti !