В Windows 10 обнаружена уязвимость в формате ссылок



Windows 10 Redstone


Исследователь компании SpecterOps Мэтт Нельсон (Matt Nelson) рассказал в корпоративном блоге о том, как обойти защитные функции Windows 10 и выполнить сторонний код, сообщает Threatpost.

Уязвимость оказалась связана с новым форматом системных ссылок, сменивших в последней версии ОС классическую панель управления.

По словам эксперта, он поставил себе целью найти тип файлов, который позволит запустить код из внешнего источника. Для проникновения в систему Нельсон решил воспользоваться функцией связывания и внедрения объектов (Object Linking and Embedding, OLE). Она позволяет приложениям получать данные извне и добавлять исполняемые объекты, например Flash-приложение в Word-документ. Злоумышленники пользуются этим для проведения целевых атак, кражи конфиденциальной информации и распространения зловредов.

Для безопасности пользователя, начиная с MS Office 2016, разработчики ограничили набор форматов, с которыми может работать технология OLE. Кроме того, функция сокращения площади атаки (Attack Surface Reduction, ASR) блокирует запуск дочерних процессов с помощью встроенных в документ скриптов.

“Я потратил многие часы в поисках новых форматов, которые разрешали бы выполнение кода, — рассказывает эксперт. — В итоге я наткнулся на *.SettingContent-ms — такие файлы позволяют пользователям менять настройки Windows 10 через ссылки на специальной странице”.

Нельсон выяснил, что фактически это обычные XML-документы, и нашел в их коде тег, отвечающий за открытие специфической настройки при клике на соответствующем ярлыке. Как оказалось, в нем можно прописать любой исполняемый файл, и система запустит его без каких-либо предупреждений. Более того, Нельсон смог таким образом выстроить цепочку команд — это значит, что злоумышленник может скрыть вредоносную активность, открыв страницу, которую ожидает увидеть жертва атаки.

Чтобы доставить опасный скрипт на машину, достаточно заманить пользователя на скомпрометированную веб-страницу. По словам эксперта, штатные защитные системы Windows позволили ему скачать и запустить файл, не увидев в нем каких-либо подозрительных свойств.

При этом, поскольку формат .SettingContent-ms отсутствует в черном списке потенциально зловредных расширений, ОС разрешает ему запускать дочерние процессы. В результате под угрозой оказываются даже компьютеры с максимальными настройками безопасности, утверждает эксперт.

Нельсон передал информацию об уязвимости Microsoft в феврале. В июне специалисты Microsoft Security Response Center признали брешь недостаточно серьезной для отдельного рассмотрения и закрыли вопрос.

По мнению экспертов, ближайшие обновления безопасности Windows могут запретить исполнение файлов .SettingContent-ms через OLE.

Автор: Softodrom.ru
Дата:
Новые статьи: Всё о Windows 10
05.08.2020 20:25

Выпущена Windows 10 Insider Preview Build 20185

Microsoft выпустила новую тестовую сборку Windows 10, которая относится к находящемуся в разработке крупному обновлению 21H1

03.08.2020 00:42

KB4568831 для Windows 10: обновленное меню «Пуск», улучшенный Alt+Tab и исправление множества ошибок

Выпущено накопительное обновление KB4568831, устраняющее множество выявленных проблем

30.07.2020 15:19

Выпущена Windows 10 Insider Preview Build 20180

Microsoft выпустила новую тестовую сборку Windows 10, которая относится к находящемуся в разработке крупному обновлению 21H1

17.07.2020 19:31

Выпущена Windows 10 Insider Preview Build 20170

Microsoft выпустила новую тестовую сборку Windows 10, которая относится к находящемуся в разработке обновлению 21H1

12.07.2020 15:31

Windows 10 прекратит поддержку PHP

Компания Microsoft объявила о прекращении дальнейшей поддержки популярного языка программирования PHP в операционной системе Windows 10

Популярное: Всё о Windows 10
03.08.2020 00:42

KB4568831 для Windows 10: обновленное меню «Пуск», улучшенный Alt+Tab и исправление множества ошибок

Выпущено накопительное обновление KB4568831, устраняющее множество выявленных проблем

05.08.2020 20:25

Выпущена Windows 10 Insider Preview Build 20185

Microsoft выпустила новую тестовую сборку Windows 10, которая относится к находящемуся в разработке крупному обновлению 21H1

19.06.2017 15:42

Кащенко: «Лаборатория Касперского» рада предупреждению ФАС в адрес Microsoft

Если Microsoft пересмотрит свои действия, пользователи будут иметь возможность осознанно делать выбор защитного решения без недобросовестного влияния со стороны

30.07.2015 16:09

Сравнение версий Windows 10 Домашняя, Pro и Корпоративная

Microsoft опубликовала таблицу сравнения возможностей различных версий Windows 10

27.01.2015 22:43

Как в Windows 10 включить Кортану

Одним из нововведений сборки 9926 стала голосовая помощница Кортана

» Оставьте первым свой комментарий

Новости /
Всё о Windows 10 /
В Windows 10 обнаружена уязвимость в формате ссылок
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика