В Windows 10 обнаружена уязвимость в формате ссылок


Windows 10 Redstone


Исследователь компании SpecterOps Мэтт Нельсон (Matt Nelson) рассказал в корпоративном блоге о том, как обойти защитные функции Windows 10 и выполнить сторонний код, сообщает Threatpost.

Уязвимость оказалась связана с новым форматом системных ссылок, сменивших в последней версии ОС классическую панель управления.

По словам эксперта, он поставил себе целью найти тип файлов, который позволит запустить код из внешнего источника. Для проникновения в систему Нельсон решил воспользоваться функцией связывания и внедрения объектов (Object Linking and Embedding, OLE). Она позволяет приложениям получать данные извне и добавлять исполняемые объекты, например Flash-приложение в Word-документ. Злоумышленники пользуются этим для проведения целевых атак, кражи конфиденциальной информации и распространения зловредов.

Для безопасности пользователя, начиная с MS Office 2016, разработчики ограничили набор форматов, с которыми может работать технология OLE. Кроме того, функция сокращения площади атаки (Attack Surface Reduction, ASR) блокирует запуск дочерних процессов с помощью встроенных в документ скриптов.

“Я потратил многие часы в поисках новых форматов, которые разрешали бы выполнение кода, — рассказывает эксперт. — В итоге я наткнулся на *.SettingContent-ms — такие файлы позволяют пользователям менять настройки Windows 10 через ссылки на специальной странице”.

Нельсон выяснил, что фактически это обычные XML-документы, и нашел в их коде тег, отвечающий за открытие специфической настройки при клике на соответствующем ярлыке. Как оказалось, в нем можно прописать любой исполняемый файл, и система запустит его без каких-либо предупреждений. Более того, Нельсон смог таким образом выстроить цепочку команд — это значит, что злоумышленник может скрыть вредоносную активность, открыв страницу, которую ожидает увидеть жертва атаки.

Чтобы доставить опасный скрипт на машину, достаточно заманить пользователя на скомпрометированную веб-страницу. По словам эксперта, штатные защитные системы Windows позволили ему скачать и запустить файл, не увидев в нем каких-либо подозрительных свойств.

При этом, поскольку формат .SettingContent-ms отсутствует в черном списке потенциально зловредных расширений, ОС разрешает ему запускать дочерние процессы. В результате под угрозой оказываются даже компьютеры с максимальными настройками безопасности, утверждает эксперт.

Нельсон передал информацию об уязвимости Microsoft в феврале. В июне специалисты Microsoft Security Response Center признали брешь недостаточно серьезной для отдельного рассмотрения и закрыли вопрос.

По мнению экспертов, ближайшие обновления безопасности Windows могут запретить исполнение файлов .SettingContent-ms через OLE.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Всё о Windows 10 > В Windows 10 обнаружена уязвимость в формате ссылок
Все рубрики статей:
Топ-сегодня: Всё о Windows 10
Выпущена Windows 10 Insider Preview Build 18936 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1
Сравнение версий Windows 10 Домашняя, Pro и Корпоративная
Microsoft опубликовала таблицу сравнения возможностей различных версий Windows 10
Как в Windows 10 удалить предустановленные приложения
Удалить предустановленные приложения в Windows 10 очень просто, и делается это через PowerShell
Как улучшить звук в играх и фильмах в Windows 10
В операционной системе Windows 10 можно легко и быстро включить пространственный звук, чтобы наслаждаться эффектным иммерсивным звучанием
Обновление Windows 10 Creators Update меняет версию с 1607 на 1703
Последняя инсайдерская сборка Creators Update меняет версию Windows 10 с 1607 на 1703
Новые статьи: Всё о Windows 10
Выпущена Windows 10 Insider Preview Build 18936 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1
Выпущена Windows 10 Insider Preview Build 18932 (20H1)
Microsoft выпустила очередную тестовую сборку операционной системы Windows 10 из новой ветки под кодовым названием 20H1
Выпущена первая сборка Windows 10 19H2
Доступна первая тестовая сборка Windows 10 19H2 — очередного крупного обновления операционной системы Windows 10, которое придет на смену обновлению Windows 10 May 2019 Update
Microsoft начнет удалять электронные книги из Windows 10
Фильмы и электронные книги, которые вы приобрели в различных сервисах, например, в iTunes, на самом деле не ваши, поскольку вы лишь купили лицензию, дающую вам право доступа к этим фильмам и книгам
Выход Windows 10 19H2 задерживается, но не отменяется
Microsoft рассказала о своем понимании того, когда заканчивается весна и начинается лето

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».