Хакер #305. Многошаговые SQL-инъекции
В начале июня 2018 года специалисты компании SpecterOps обнаружили, что файлы SettingContent-ms могут использоваться для исполнения произвольного кода в системе. Такие файлы появились сравнительно недавно и вошли в обращение после релиза Windows 10. Они позволяют создавать ярлыки для страниц настроек, пришедших на смену классической «Панели управления».
В начале июня 2018 года эксперты в области информационной безопасности предупредили, что злоумышленники уже пытаются приспособить файлы SettingContent-ms для своих нужд. С каждым днем на VirusTotal загружают все больше и больше тестовых эксплоитов. К примеру, специалист компании FireEye Ник Карр (Nick Carr), который отслеживает такие загрузки, сообщил, что этот файл SettingContent-ms загрузит и выполнит файл EXE, содержащий трояна Remcos.
К сожалению, инженеры Microsoft сообщили специалистам, что не рассматривают обнаруженные проблемы как уязвимость. Тогда эксперты предположили, что вероятнее всего, ярлыки SettingContent-ms в скором будущем пополнят черные списки Object Linking and Embedding (OLE), и на этом все закончится.
Похоже, ИБ-специалисты оказались правы. На этой неделе разработчики Microsoft обновили список опасных файлов, которым запрещается работать в документах Office 365. В итоге список Packager Activation, представляющий собой «коллекцию» опасных файлов, которые блокируются в документах Office, пополнился файлами SettingContent-ms. Теперь перечень в общей сложности содержит 108 расширений файлов, включая CHM, EXE, HTA, JS, MSI, VBS, WSF и так далее.
Таким образом, если пользователь попытается открыть вредоносный документ, содержащий опасный объект OLE, тот будет заблокирован, а пользователь увидит лишь вот такое сообщение об ошибке.
Кстати, список Packager Activation можно интегрировать и с более старыми версиями Office, на официальном сайте Microsoft этому вопросу посвящена отдельная инструкция.