html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Злоумышленники используют для исполнения произвольного кода файлы ярлыков SettingContent-ms

В начале июня 2018 года специалисты компании SpecterOps обнаружили, что файлы SettingContent-ms могут использоваться для исполнения произвольного кода в системе. Такие файлы появились сравнительно недавно, в 2015 году, после релиза Windows 10. Они позволяют создавать ярлыки для страниц настроек, пришедших на смену классической «Панели управления». В сущности, файлы SettingContent-ms представляют собой  простые документы XML, содержащие тег < DeepLink >, который указывает на местоположение страниц настроек Windows 10 на диске. В итоге страницы открываются по двойному клику по ярлыку.

Исследователи SpecterOps обнаружили, что тег DeepLink  можно заменить на произвольные исполняемые файлы в локальной системе, включая ссылки на cmd.exe или PowerShell.exe. Более того, бинарники можно объединить в цепочку, чтобы те выполнялись один за другим. Фактически это означало, что злоумышленники могут создавать файлы SettingContent-ms, запускающие вредоносный код на фоне, а затем демонстрирующие пользователи страницу настроек Windows 10, как ни в чем не бывало.

Ярлыки SettingContent-ms могут также могут быть объединены с другими техниками атак, к примеру, встроены в документы Office при помощи Object Linking and Embedding (OLE).

Специалисты подчеркивали, что даже загрузка и выполнение файла SettingContent-ms с удаленного сервера не  вызывает у Windows 10 и Windows Defender никаких подозрений. Никаких уведомлений или предупреждений пользователю не демонстрируется. Хуже того, такой способ атак может обойти даже защитные правила Attack Surface Reduction (ASR). Демонстрацию подобной атаки можно увидеть ниже.

К сожалению, инженеры Microsoft сообщили, что не рассматривают обнаруженные специалистами SpecterOps особенности файлов SettingContent-ms как уязвимость. Вероятнее всего, ярлыки SettingContent-ms просто пополнят черные списки OLE, и на этом все закончится.

Прошло всего три недели с момента публикации отчета и  proof-of-concept кода SpecterOps, и эксперты обнаружили, что злоумышленники уже пытаются приспособить файлы SettingContent-ms для своих нужд. С каждым днем на VirusTotal загружают все больше и больше эксплоитов. Специалист FireEye Ник Карр (Nick Carr) отслеживает такие загрузки на протяжении двух недель и исправно рассказывает о них в своем Twitter (1, 2, 3, 4, 5).

yawn.SettingContent-ms 😑

Exploring POCs and attacker usage of a particular method like @enigma0x3's responsibly-disclosed #DeepLink technique is mostly uneventful. We'll try to keep sharing some interesting public samples as the technique trickles downstream. pic.twitter.com/zeKQdtTUpQ

— Nick Carr (@ItsReallyNick) July 3, 2018

Если первые образцы явно были «сырыми» и тестовыми, то в последние дни уже можно заметить работающие цепочки эксплоитов, в состав которых входят файлы SettingsContent-ms. Они успешно скачивают и устанавливают малварь на устройства жертв. К примеру, Карр пишет, что этот файл SettingContent-ms загрузит и выполнит файл EXE, содержащий трояна Remcos.

"Quotation_Request_Sheet.SettingContent-ms"#DeepLink @enigma0x3 method
0 static AV detections in VT

Uses PowerShell to download & launch hxxps://lanitida[.]net/LAW231.exe
as %APPDATA%Rundll32.exe

Uploaded just now (2 min ago): https://t.co/2OC6vzrXyw pic.twitter.com/84oTsnE7dm

— Nick Carr (@ItsReallyNick) July 2, 2018

Хотя можно было бы предположить, что с оригинальным PoC-эксплоитом SpecterOps пока экспериментируют лишь другие ИБ-специалисты, исследователи не согласны с этим. И Ник Карр, и специалист Malwarebytes Джером Сегура (Jérôme Segura) уверяют, что файлы SettingContent-ms уже пытаются применять злоумышленники, и совсем скоро мы увидим данную технику атак в реальных вредоносных кампаниях.

Происходящее вновь дало пищу для извечного спора, который регулярно возникает в ИБ-сообществе. Эксперты спорят о том, стоит ли вообще открыто публиковать информацию о проблемах и PoC-эксплоиты, которые могут быть легко адаптированы и использованы преступниками в реальной жизни. Мнения традиционно разделились: одни считают принцип «безопасность через неясность» основополагающим в таких вопросах, но другие убеждены, что замалчивание проблем будет работать лишь на руку злоумышленникам.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции