Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Win10 – nowe zagrożenie – pliki wykonujące kod bez ostrzeżenia / potwierdzenia i blokowania przez microsoftowy AV
Na pewno nie raz widzieliście ostrzeżenie po kliknięciu na plik pobrany z Internetu (niezaufany), Microsoft też często ostrzega przed uruchomieniem linku / kodu zawartego w MS Office. Nowe wersje MS Office wprowadzają też parę dodatkowych metod ochrony, np. uniemożliwienie uruchamiania nowych podprocesów (choćby cmd).
Okazuje się, że wszystko to można ominąć pewnym nowym „ficzerem” w Windows 10, a dokładniej nowym formatem plików o przyjaznym rozszerzeniu: SettingContent-ms
Tego typu wstępnie uzbrojony plik wygląda tak:
I daje on atakującym jeszcze jeden „bonus” – taki plik pobrany z Internetu można uruchomić bez żadnego dodatkowego ostrzeżenia:
Okazuje się, że technikę można wykorzystać do stworzenia złośliwego pliku Office – wstawiamy obiekt będący plikiem SettingContent-ms i uruchamiamy cokolwiek. Jeszcze jeden problem do rozwiązania to Office-owa blokada, uniemożliwiająca wystartowanie czegokolwiek spoza katalogu C:\Program Files\Microsoft Office. Ale i na to jest sposób, czyli wykorzystanie jednej z binarek Microsoftu znajdującej się w tej ścieżce jako swojego rodzaju proxy:
Testowe odpalenie kalkulatora z obiektu zawartego w pliku Worda – tutaj:
Okazuje się, że co dopiero opisana technika już jest stosowana do ataków, warto więc być odpowiednio przygotowanym.
–ms
” (…) warto więc być odpowiednio przygotowanym ”
Powstaje jedno zasadniczne pytanie : Jak się przygotować na coś co jest wbudowane w produkt który w większości wykorzystywany jest przez ludzi totalnie niezwiązanych z IT.
Z tego co zrozumiałem, można odpalić praktycznie wszystko (oczywiście w zależności od tego jakie uprawnienia posiadamy) i to jeszcze bez żadnego alertu…
Ah jak cudownie że wczoraj puściłem up systemu do tej wspaniałej unowocześnionej wersji…
Z tego co mi się wydaje to kalkulator nie wymaga podniesienia uprawnień. Da się w ten sposób odpalić coś to może zaingerować w system?
Drugi exploit
<>
Nie jestem zbyt obeznany w tematach dlatego brzmi to nieciekawie pewnie kwestia przyzwyczajenia
Używajmy tylko licencjonowanego oprogramowania MikroSoft!
Oni nas obronią. ;-]
hmm, a co powiecie na odpalenie js… a js… odpali nam fajne bajery … i mamy botnet w 5 min… a u ludu raptem +40% procka… i tak nie ogarną :P