В Windows 10 обнаружена уязвимость в формате ссылок


Windows 10 Redstone


Исследователь компании SpecterOps Мэтт Нельсон (Matt Nelson) рассказал в корпоративном блоге о том, как обойти защитные функции Windows 10 и выполнить сторонний код, сообщает Threatpost.

Уязвимость оказалась связана с новым форматом системных ссылок, сменивших в последней версии ОС классическую панель управления.

По словам эксперта, он поставил себе целью найти тип файлов, который позволит запустить код из внешнего источника. Для проникновения в систему Нельсон решил воспользоваться функцией связывания и внедрения объектов (Object Linking and Embedding, OLE). Она позволяет приложениям получать данные извне и добавлять исполняемые объекты, например Flash-приложение в Word-документ. Злоумышленники пользуются этим для проведения целевых атак, кражи конфиденциальной информации и распространения зловредов.

Для безопасности пользователя, начиная с MS Office 2016, разработчики ограничили набор форматов, с которыми может работать технология OLE. Кроме того, функция сокращения площади атаки (Attack Surface Reduction, ASR) блокирует запуск дочерних процессов с помощью встроенных в документ скриптов.

“Я потратил многие часы в поисках новых форматов, которые разрешали бы выполнение кода, — рассказывает эксперт. — В итоге я наткнулся на *.SettingContent-ms — такие файлы позволяют пользователям менять настройки Windows 10 через ссылки на специальной странице”.

Нельсон выяснил, что фактически это обычные XML-документы, и нашел в их коде тег, отвечающий за открытие специфической настройки при клике на соответствующем ярлыке. Как оказалось, в нем можно прописать любой исполняемый файл, и система запустит его без каких-либо предупреждений. Более того, Нельсон смог таким образом выстроить цепочку команд — это значит, что злоумышленник может скрыть вредоносную активность, открыв страницу, которую ожидает увидеть жертва атаки.

Чтобы доставить опасный скрипт на машину, достаточно заманить пользователя на скомпрометированную веб-страницу. По словам эксперта, штатные защитные системы Windows позволили ему скачать и запустить файл, не увидев в нем каких-либо подозрительных свойств.

При этом, поскольку формат .SettingContent-ms отсутствует в черном списке потенциально зловредных расширений, ОС разрешает ему запускать дочерние процессы. В результате под угрозой оказываются даже компьютеры с максимальными настройками безопасности, утверждает эксперт.

Нельсон передал информацию об уязвимости Microsoft в феврале. В июне специалисты Microsoft Security Response Center признали брешь недостаточно серьезной для отдельного рассмотрения и закрыли вопрос.

По мнению экспертов, ближайшие обновления безопасности Windows могут запретить исполнение файлов .SettingContent-ms через OLE.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Всё о Windows 10 > В Windows 10 обнаружена уязвимость в формате ссылок
Все рубрики статей:
Топ-сегодня: Всё о Windows 10
В Windows 10 появилась защита от опасных сайтов
Microsoft выпустила расширение Application Guard для браузеров Google Chrome и Mozilla Firefox
Баг в Windows 10 Insider Preview Build 18356 отключает получение новых сборок
В последней доступной участникам программы Windows Insider сборке операционной системы Windows 10 обнаружился баг, отключающий пользователей от получения новых сборок
В Windows 10 Home можно будет отложить установку обновлений на 35 дней
У пользователей Windows 10 Home появится возможность отложить установку обновлений операционной системы на 35 дней
В Windows 10 появилось «отзеркаливание» Android-смартфонов
Благодаря нововведению пользователи Windows 10 смогут запускать Android-приложения прямо с экрана компьютера
Когда выйдет Windows 11?
Продолжит ли Microsoft выпускать обновления для провальной «десятки»?
Новые статьи: Всё о Windows 10
В Windows 10 появилась защита от опасных сайтов
Microsoft выпустила расширение Application Guard для браузеров Google Chrome и Mozilla Firefox
Баг в Windows 10 Insider Preview Build 18356 отключает получение новых сборок
В последней доступной участникам программы Windows Insider сборке операционной системы Windows 10 обнаружился баг, отключающий пользователей от получения новых сборок
В Windows 10 Home можно будет отложить установку обновлений на 35 дней
У пользователей Windows 10 Home появится возможность отложить установку обновлений операционной системы на 35 дней
В Windows 10 появилось «отзеркаливание» Android-смартфонов
Благодаря нововведению пользователи Windows 10 смогут запускать Android-приложения прямо с экрана компьютера
Выпущена Windows 10 Insider Preview Build 18855 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».