Windows 10s Schutz ist ziemlich robust heutzutage, also versuchen Leute natürlich sie zu brechen

Weiße und schwarze Hüte basteln mit XML .SettingContent-ms Dateien als eine Methode, Malware freizusetzen

Hacker haben mit einer neu entdeckten Technik, Windows 10 Boxen einzunehmen, experimentiert.

Diese am Anfang Juni aufgedeckte Methode beruht darauf, Windows Einstellungsdateien (.SettingContent-ms) zu missbrauchen, ein XML Datei Typ der von Windows 10 eingeführt wurde. Die Technologie ermöglicht Nutzern “Schnelltasten” zu verschiedenen Windows Einstellungsseiten zu erzeugen.

SpecterOps Sicherheitsforscher Matt Nelson markierte die Technologie als einen möglichen Mechanismus für Hacker, Malware mit minimaler Benutzer Interaktion durch das <DeepLink> Element des XML Schemas einzuschleusen, welches jegliche Binärdatei mit Parametern annimmt und ausführt.

Malware Anschläger sind in ärgster Not eines neuen Ansatzes, weil Microsoft besser darin wird, alteingesessene Techniken zu vereiteln.

Office 2016 fing an, standardmäßig alle “gefährlichen” Dateiformate vor dem einbetten durch OLE (Object Linking and Embedding) zu blockieren. Das SettingContent-ms Dateiformat ist jedoch nicht in dieser Liste mit einbezogen.

Microsoft führte außerdem Attack Surface Reduction (ASR) Regeln in Windows 10 ein, was weiterhin den Gefahrenbereich einschränkte, zumindest von den verbreiteten Hacker Techniken wie “Office Anwendungen vor der Erstellung von Kinder Prozessen blockieren”.

Nelson fand heraus, dass es keine “offene” Eingabeaufforderung gibt beim Doppelklicken einer SettingContent-ms Datei, Windows führt den Befehl nur aus. Das Dateiformat erlaubt potentielle Shell Befehl Ausführung durch eine geöffnete Datei, falls es zu einem unwissenden Benutzer durch das Internet zugestellt wird. In dem nachfolgenden Video benutzt Nelson diese Methode um die zum Glück gutartige Taschenrechner Anwendung zu öffnen.

Eindringlings Tester haben angefangen mit Proof of Concept Code zu experimentieren, in dem Versuch, Windows Einstellungen auszunutzen. Beispiele dieser Bemühungen werden auf VirusTotal hochgeladen.

FireEye Sicherheitsforscher Nick Carr hielt diese Uploads im Auge, welche bisher großenteils durch die Experimente von Schurken und Sicherheitsforschern begrenzt sind.

“Skala = viel Bastelei, sehr wenig Nutzung in freier Wildbahn wegen zu kleiner Angriffsfläche. Ich habe <10 bewaffnet gesehen, nicht-POC #Deeplink Dateien öffentlich hochgeladen und <5 in freier Wildbahn zugeliefert (Ich verstehe es waren rote Teams),” teilte Carr El Reg in einem Austausch auf Twitter mit.

Das Experimentieren auf beiden Seiten ruft die Frage der Ethik der Publikation von offensiven Hacker Techniken auf. Die vorherrschende Ansicht ist, das “Sicherheit durch Unklarheit” Hackern auf lange Sicht nur hilft.

Es ist besser, wie ein Hacker zu denken und mit voraussichtlichen Angriffsszenarios zu rechnen so dass Verteidigungen und Gegenmaßnahmen vor dem Bedarf sie zu benutzten vorbereitet werden können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.