File SettingContent-ms Dapat dengan mudah melewati Aturan OLE dan Attack Surface Reduction (ASR)

File SettingContent-ms Dapat dengan mudah melewati Aturan OLE dan Attack Surface Reduction (ASR)

Keamanan / File SettingContent-ms Dapat dengan mudah melewati Aturan OLE dan Attack Surface Reduction (ASR) 1 menit dibaca

Gambar diambil dari Bleeping Computer

Jenis file Windows '.SettingContent-ms', yang pertama kali diperkenalkan di Windows 10 pada tahun 2015 rentan terhadap eksekusi perintah menggunakan atribut DeepLink di skemanya-yang merupakan dokumen XML sederhana.



Matt Nelson dari SpecterOps menemukan dan melaporkan kerentanan yang dapat digunakan oleh penyerang untuk memudahkan payload mendapatkan akses juga disimulasikan dalam video ini



Penyerang dapat menggunakan file SettingContent-ms untuk menarik unduhan dari internet yang menimbulkan beberapa kemungkinan kerusakan serius karena dapat digunakan untuk mengunduh file yang memungkinkan eksekusi kode jarak jauh.



Bahkan dengan aturan blok OLE Office 2016 dan aturan Pembuatan Proses Anak ASR diaktifkan, penyerang dapat menghindari blok OLE melalui file file .SettingsContent-ms yang digabungkan dengan jalur daftar putih di folder Office dapat memungkinkan penyerang untuk menghindari kontrol ini dan mengeksekusi sewenang-wenang perintah seperti yang ditunjukkan Matt di blog SpectreOps dengan menggunakan file AppVLP.

Muatan penghindaran OLE / ASR - SpecterOps



Secara default, dokumen Office ditandai sebagai MOTW dan dibuka dalam Tampilan Terproteksi, ada file tertentu yang masih mengizinkan OLE dan tidak dipicu oleh Tampilan Terproteksi. Idealnya, file SettingContent-ms tidak boleh menjalankan file apa pun di luar C: Windows ImmersiveControlPanel.

Matt juga menyarankan untuk mensterilkan format file dengan mematikan penangannya dengan mengatur 'DelegateExecute' melalui editor registri di HKCR: SettingContent Shell Open Command menjadi kosong lagi - namun, tidak ada jaminan bahwa melakukan ini tidak akan merusak Windows. titik pemulihan harus dibuat sebelum Anda mencoba ini.