В Windows 10 обнаружена уязвимость в формате ссылок


Windows 10 Redstone


Исследователь компании SpecterOps Мэтт Нельсон (Matt Nelson) рассказал в корпоративном блоге о том, как обойти защитные функции Windows 10 и выполнить сторонний код, сообщает Threatpost.

Уязвимость оказалась связана с новым форматом системных ссылок, сменивших в последней версии ОС классическую панель управления.

По словам эксперта, он поставил себе целью найти тип файлов, который позволит запустить код из внешнего источника. Для проникновения в систему Нельсон решил воспользоваться функцией связывания и внедрения объектов (Object Linking and Embedding, OLE). Она позволяет приложениям получать данные извне и добавлять исполняемые объекты, например Flash-приложение в Word-документ. Злоумышленники пользуются этим для проведения целевых атак, кражи конфиденциальной информации и распространения зловредов.

Для безопасности пользователя, начиная с MS Office 2016, разработчики ограничили набор форматов, с которыми может работать технология OLE. Кроме того, функция сокращения площади атаки (Attack Surface Reduction, ASR) блокирует запуск дочерних процессов с помощью встроенных в документ скриптов.

“Я потратил многие часы в поисках новых форматов, которые разрешали бы выполнение кода, — рассказывает эксперт. — В итоге я наткнулся на *.SettingContent-ms — такие файлы позволяют пользователям менять настройки Windows 10 через ссылки на специальной странице”.

Нельсон выяснил, что фактически это обычные XML-документы, и нашел в их коде тег, отвечающий за открытие специфической настройки при клике на соответствующем ярлыке. Как оказалось, в нем можно прописать любой исполняемый файл, и система запустит его без каких-либо предупреждений. Более того, Нельсон смог таким образом выстроить цепочку команд — это значит, что злоумышленник может скрыть вредоносную активность, открыв страницу, которую ожидает увидеть жертва атаки.

Чтобы доставить опасный скрипт на машину, достаточно заманить пользователя на скомпрометированную веб-страницу. По словам эксперта, штатные защитные системы Windows позволили ему скачать и запустить файл, не увидев в нем каких-либо подозрительных свойств.

При этом, поскольку формат .SettingContent-ms отсутствует в черном списке потенциально зловредных расширений, ОС разрешает ему запускать дочерние процессы. В результате под угрозой оказываются даже компьютеры с максимальными настройками безопасности, утверждает эксперт.

Нельсон передал информацию об уязвимости Microsoft в феврале. В июне специалисты Microsoft Security Response Center признали брешь недостаточно серьезной для отдельного рассмотрения и закрыли вопрос.

По мнению экспертов, ближайшие обновления безопасности Windows могут запретить исполнение файлов .SettingContent-ms через OLE.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Всё о Windows 10 > В Windows 10 обнаружена уязвимость в формате ссылок
Все рубрики статей:
Топ-сегодня: Всё о Windows 10
Microsoft начала распространение Windows 10 May 2019 Update
Windows 10 May 2019 Update представляет собой первое крупное обновление операционной системы Windows 10 в этом году
Microsoft рассказала про изменения в обновлениях Windows 10
Microsoft рассказала подробности о новых элементах управления обновлениями, которые появятся в Windows 10 May 2019 Update, и изменениях в подходе к обеспечению качества обновлений
Как в Windows 10 удалить предустановленные приложения
Удалить предустановленные приложения в Windows 10 очень просто, и делается это через PowerShell
Выпущена Windows 10 Insider Preview Build 18898 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1
Как в Windows 10 включить Кортану
Одним из нововведений сборки 9926 стала голосовая помощница Кортана
Новые статьи: Всё о Windows 10
Microsoft начала распространение Windows 10 May 2019 Update
Windows 10 May 2019 Update представляет собой первое крупное обновление операционной системы Windows 10 в этом году
Выпущена Windows 10 Insider Preview Build 18898 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1
Microsoft сделала очередной шаг к отказу от паролей в Windows 10
Консорциум FIDO сертифицировал Windows 10 версии 1903, которая выйдет в конце мая нынешнего года
Выпущена Windows 10 Insider Preview Build 18894 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1
Выпущена Windows 10 Insider Preview Build 18890 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».