Los archivos SettingContent-ms pueden omitir fácilmente las reglas OLE y de reducción de la superficie de ataque (ASR)

Los archivos SettingContent-ms pueden omitir fácilmente las reglas OLE y de reducción de la superficie de ataque (ASR)

Seguridad / Los archivos SettingContent-ms pueden omitir fácilmente las reglas OLE y de reducción de la superficie de ataque (ASR) 1 minuto de lectura

Imagen tomada de Bleeping Computer

El tipo de archivo de Windows '.SettingContent-ms', introducido inicialmente en Windows 10 en 2015, es vulnerable a la ejecución de comandos mediante el atributo DeepLink en su esquema, que en sí mismo es un documento XML simple.

Matt Nelson de SpecterOps descubrió e informó la vulnerabilidad que los atacantes pueden utilizar para facilitar la carga útil para obtener acceso, también simulada en este video

Los atacantes pueden usar el archivo SettingContent-ms para extraer descargas de Internet, lo que plantea varias posibilidades de daños graves, ya que puede usarse para descargar archivos que pueden permitir la ejecución remota de códigos.

Incluso con la regla de bloqueo OLE de Office 2016 y la regla de creación de procesos secundarios de ASR habilitada, el atacante puede evadir el bloqueo OLE a través de los archivos de archivo .SettingsContent-ms combinados con una ruta en la lista blanca en la carpeta de Office puede permitir que el atacante eluda estos controles y ejecute arbitrariamente comandos como Matt demostró en el blog SpectreOps utilizando el archivo AppVLP.

Carga útil de evasión OLE / ASR - SpecterOps

De forma predeterminada, los documentos de Office están marcados como MOTW y se abren en la Vista protegida, hay ciertos archivos que aún permiten OLE y no se activan con la Vista protegida. Idealmente, el archivo SettingContent-ms no debería ejecutar ningún archivo fuera de C: Windows ImmersiveControlPanel.

Matt también sugiere neutralizar los formatos de archivo matando a sus controladores configurando 'DelegateExecute' a través del editor de registro en HKCR: SettingContent Shell Open Command para que esté vacío nuevamente; sin embargo, no hay garantías de que hacerlo no romperá Windows, por lo tanto se debe crear un punto de restauración antes de intentar esto.