В начале июня 2018 года специалисты компании SpecterOps обнаружили, что файлы SettingContent-ms могут использоваться для исполнения произвольного кода в системе. Такие файлы появились сравнительно недавно, в 2015 году, после релиза Windows 10. Они позволяют создавать ярлыки для страниц настроек, пришедших на смену классической «Панели управления». В сущности, файлы SettingContent-ms представляют собой  простые документы XML, содержащие тег < DeepLink >, который указывает на местоположение страниц настроек Windows 10 на диске. В итоге страницы открываются по двойному клику по ярлыку.

Исследователи SpecterOps обнаружили, что тег DeepLink  можно заменить на произвольные исполняемые файлы в локальной системе, включая ссылки на cmd.exe или PowerShell.exe. Более того, бинарники можно объединить в цепочку, чтобы те выполнялись один за другим. Фактически это означало, что злоумышленники могут создавать файлы SettingContent-ms, запускающие вредоносный код на фоне, а затем демонстрирующие пользователи страницу настроек Windows 10, как ни в чем не бывало.

Ярлыки SettingContent-ms также могут быть объединены с другими техниками атак, к примеру, встроены в документы Office при помощи Object Linking and Embedding (OLE).

Специалисты подчеркивали, что даже загрузка и выполнение файла SettingContent-ms с удаленного сервера не  вызывает у Windows 10 и Windows Defender никаких подозрений. Никаких уведомлений или предупреждений пользователю не демонстрируется. Хуже того, такой способ атак может обойти даже защитные правила Attack Surface Reduction (ASR). Демонстрацию подобной атаки можно увидеть ниже.

К сожалению, инженеры Microsoft сообщили, что не рассматривают обнаруженные специалистами SpecterOps особенности файлов SettingContent-ms как уязвимость. Вероятнее всего, ярлыки SettingContent-ms просто пополнят черные списки OLE, и на этом все закончится.

Прошло всего три недели с момента публикации отчета и  proof-of-concept кода SpecterOps, и эксперты обнаружили, что злоумышленники уже пытаются приспособить файлы SettingContent-ms для своих нужд. С каждым днем на VirusTotal загружают все больше и больше эксплоитов. Специалист FireEye Ник Карр (Nick Carr) отслеживает такие загрузки на протяжении двух недель и исправно рассказывает о них в своем Twitter (1, 2, 3, 4, 5).

Если первые образцы явно были «сырыми» и тестовыми, то в последние дни уже можно заметить работающие цепочки эксплоитов, в состав которых входят файлы SettingsContent-ms. Они успешно скачивают и устанавливают малварь на устройства жертв. К примеру, Карр пишет, что этот файл SettingContent-ms загрузит и выполнит файл EXE, содержащий трояна Remcos.

Хотя можно было бы предположить, что с оригинальным PoC-эксплоитом SpecterOps пока экспериментируют лишь другие ИБ-специалисты, исследователи не согласны с этим. И Ник Карр, и специалист Malwarebytes Джером Сегура (Jérôme Segura) уверяют, что файлы SettingContent-ms уже пытаются применять злоумышленники, и совсем скоро мы увидим данную технику атак в реальных вредоносных кампаниях.

Происходящее вновь дало пищу для извечного спора, который регулярно возникает в ИБ-сообществе. Эксперты спорят о том, стоит ли вообще открыто публиковать информацию о проблемах и PoC-эксплоиты, которые могут быть легко адаптированы и использованы преступниками в реальной жизни. Мнения традиционно разделились: одни считают принцип «безопасность через неясность» основополагающим в таких вопросах, но другие убеждены, что замалчивание проблем будет работать лишь на руку злоумышленникам.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии