Win10 – nowe zagrożenie – pliki wykonujące kod bez ostrzeżenia / potwierdzenia i blokowania przez microsoftowy AV

Na pewno nie raz widzieliście ostrzeżenie po kliknięciu na plik pobrany z Internetu (niezaufany), Microsoft też często ostrzega przed uruchomieniem linku / kodu zawartego w MS Office.  Nowe wersje MS Office wprowadzają też parę dodatkowych metod ochrony, np. uniemożliwienie uruchamiania nowych podprocesów (choćby cmd).

Okazuje się, że wszystko to można ominąć pewnym nowym „ficzerem” w Windows 10, a dokładniej nowym formatem plików o przyjaznym rozszerzeniu: SettingContent-ms

Tego typu wstępnie uzbrojony plik wygląda tak:

plik1

I daje on atakującym jeszcze jeden „bonus” – taki plik pobrany z Internetu można uruchomić bez żadnego dodatkowego ostrzeżenia:

Okazuje się, że technikę można wykorzystać do stworzenia złośliwego pliku Office – wstawiamy obiekt będący plikiem SettingContent-ms i uruchamiamy cokolwiek. Jeszcze jeden problem do rozwiązania to Office-owa blokada, uniemożliwiająca wystartowanie czegokolwiek spoza katalogu C:\Program Files\Microsoft Office. Ale i na to jest sposób, czyli wykorzystanie jednej z binarek Microsoftu znajdującej się w tej ścieżce jako swojego rodzaju proxy:

plik2

Testowe odpalenie kalkulatora z obiektu zawartego w pliku Worda – tutaj:

calc

Okazuje się, że co dopiero opisana technika już jest stosowana do ataków, warto więc być odpowiednio przygotowanym.

–ms