Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Win10 – nowe zagrożenie – pliki wykonujące kod bez ostrzeżenia / potwierdzenia i blokowania przez microsoftowy AV

04 lipca 2018, 10:34 | Aktualności | komentarzy 7

Na pewno nie raz widzieliście ostrzeżenie po kliknięciu na plik pobrany z Internetu (niezaufany), Microsoft też często ostrzega przed uruchomieniem linku / kodu zawartego w MS Office.  Nowe wersje MS Office wprowadzają też parę dodatkowych metod ochrony, np. uniemożliwienie uruchamiania nowych podprocesów (choćby cmd).

Okazuje się, że wszystko to można ominąć pewnym nowym „ficzerem” w Windows 10, a dokładniej nowym formatem plików o przyjaznym rozszerzeniu: SettingContent-ms

Tego typu wstępnie uzbrojony plik wygląda tak:

plik1

I daje on atakującym jeszcze jeden „bonus” – taki plik pobrany z Internetu można uruchomić bez żadnego dodatkowego ostrzeżenia:

Okazuje się, że technikę można wykorzystać do stworzenia złośliwego pliku Office – wstawiamy obiekt będący plikiem SettingContent-ms i uruchamiamy cokolwiek. Jeszcze jeden problem do rozwiązania to Office-owa blokada, uniemożliwiająca wystartowanie czegokolwiek spoza katalogu C:\Program Files\Microsoft Office. Ale i na to jest sposób, czyli wykorzystanie jednej z binarek Microsoftu znajdującej się w tej ścieżce jako swojego rodzaju proxy:

plik2

Testowe odpalenie kalkulatora z obiektu zawartego w pliku Worda – tutaj:

calc

Okazuje się, że co dopiero opisana technika już jest stosowana do ataków, warto więc być odpowiednio przygotowanym.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kredek

    ” (…) warto więc być odpowiednio przygotowanym ”

    Powstaje jedno zasadniczne pytanie : Jak się przygotować na coś co jest wbudowane w produkt który w większości wykorzystywany jest przez ludzi totalnie niezwiązanych z IT.

    Z tego co zrozumiałem, można odpalić praktycznie wszystko (oczywiście w zależności od tego jakie uprawnienia posiadamy) i to jeszcze bez żadnego alertu…

    Odpowiedz
  2. Nimoddd

    Ah jak cudownie że wczoraj puściłem up systemu do tej wspaniałej unowocześnionej wersji…

    Odpowiedz
  3. szfurcfung

    Z tego co mi się wydaje to kalkulator nie wymaga podniesienia uprawnień. Da się w ten sposób odpalić coś to może zaingerować w system?

    Odpowiedz
  4. Mdr

    <>

    Nie jestem zbyt obeznany w tematach dlatego brzmi to nieciekawie pewnie kwestia przyzwyczajenia

    Odpowiedz
  5. wuef

    Używajmy tylko licencjonowanego oprogramowania MikroSoft!
    Oni nas obronią. ;-]

    Odpowiedz
  6. rene

    hmm, a co powiecie na odpalenie js… a js… odpali nam fajne bajery … i mamy botnet w 5 min… a u ludu raptem +40% procka… i tak nie ogarną :P

    Odpowiedz

Odpowiedz