Kép az alvó számítógépről
Az eredetileg a Windows 10-ben 2015-ben bevezetett „.SettingContent-ms” Windows fájltípus sebezhető a parancs végrehajtására, a DeepLink attribútummal a sémában - ami maga is egy egyszerű XML dokumentum.
Matt Nelson SpectreOps felfedezte és jelentette azt a biztonsági rést, amelyet a támadók felhasználhatnak az egyszerű hasznos teher elérése érdekében, és ebben a videóban is szimulálták
A támadók a SettingContent-ms fájlt használhatják az internetről történő letöltések letöltésére, ami számos súlyos kár lehetőségét vetíti fel, mivel olyan fájlok letöltésére használható, amelyek távoli kódfuttatást tesznek lehetővé.
Még akkor is, ha az Office 2016 OLE-blokkolási szabálya és az ASR gyermekfolyamat-létrehozási szabálya lehetővé tette, a támadó kikerülheti az OLE-blokkot az .SettingsContent-ms fájlfájlok és az Office mappában található engedélyezett útvonal kombinálásával lehetővé teheti a támadó számára, hogy megkerülje ezeket a vezérlőket és tetszőlegesen hajtson végre parancsokat, amiket Matt az AppVLP fájl használatával bemutatott a SpectreOps blogon.
OLE / ASR kijátszási hasznos teher - SpecterOps
Alapértelmezés szerint az Office-dokumentumok MOTW-ként vannak megjelölve, és a Védett nézetben nyílnak meg, vannak bizonyos fájlok, amelyek továbbra is engedélyezik az OLE-t, és nem a Védett nézet váltja ki őket. Ideális esetben a SettingContent-ms fájl nem futtat egyetlen fájlt sem a C: Windows ImmersiveControlPanel fájlon kívül.
Matt azt is javasolja, hogy a fájlformátumokat semlegesítse kezelőinek megölésével, a HKCR: SettingContent Shell Open Command rendszerleíró szerkesztőjén keresztül a „DelegateExecute” beállításával ismét üresen álljon - azonban nincs garancia arra, hogy ezzel nem fogja feltörni a Windows rendszert visszaállítási pontot kell létrehozni, mielőtt ezt megkísérelné.
