正是透過深入研究Windows 10的功能,安全研究人員馬特·尼爾森最近發現了一個有趣的發現,即「SettingContent-ms」檔案格式。隨著新的 Microsoft 作業系統出現,其主要目標很簡單:讓您可以使用 XML 編碼建立控制面板功能的捷徑。問題是這種文件格式也可能成為駭客的攻擊媒介。為了什麼 ?因為它允許你執行系統指令,而且目前它還沒有受到 Windows 10 和 Office 保護措施的關注。
例如,Matt Nelson 創建了一個開啟計算器應用程式的SettingContent-ms 格式檔案。他將其放在網頁伺服器上並嘗試透過瀏覽器存取它。然後,它會自動開啟該文件,而不會發出任何進一步的警告。如果網路使用者點擊“開啟”,計算器就會啟動。
其次,駭客將其快捷方式文件整合到Office文件中。這裡的安全屏障再次薄弱。彈出視窗要求使用者開啟文檔,同時顯示一個小警告。如果使用者按一下“開啟”,計算器就會啟動。
然而,辦公室套件應該簡單地阻止這種執行,就像它已經在做的那樣數十種文件類型被認為有風險(.app、.asp、.cmd、.js、.jar、.msi...)。因此,當這些列入黑名單的文件之一整合到 Office 文件中時,它會直接被封鎖。
Matt Nelson 甚至找到了一種在啟用攻擊面減少(ASR) 後啟動計算器的方法,這是一種僅存在於Windows 10 企業版中的複雜保護措施。會為計算機帶來相當大的風險。它允許駭客發起網路釣魚活動,誘騙受害者在其係統上運行惡意程式碼。
不幸的是,微軟並不這麼認為。經駭客聯繫,發布者認為安全風險較低。而且,他也不打算提供解決方案。不過,如果該公司悄悄更新 Office 中的黑名單格式列表,也就不足為奇了。
來源:電腦發出蜂鳴聲
