有黑客試圖將Windows 10 設置應用的配置文件武器化

日前有研究人員發現部分地下技術社區流傳著通過Windows 10設置應用配置文件下載執行惡意文件的示例。

該配置文件似乎引起不少研究人員和黑客的注意，因為在某些條件下可以用其下載遠程文件甚至直接執行等。

該攻擊策略主要依靠設置應用程序的SettingContent-ms快捷方式，當用戶載入該文件可自動打開設置程序。

通過Microsoft Office組件載入惡意文件：

有研究人員發現通過直接載入配置文件的情況下還無法直接執行惡意代碼，但仍可以通過其他途徑完成操作。

這裡又得再次提Microsoft Office OLE 組件，該組件在最近幾年裡已經被發現較多漏洞並且已經被黑客利用。

這次的攻擊策略同樣是利用 Microsoft Office OLE 組件的特性(不是漏洞)來彈出提示提醒用戶點擊確認按鈕。

當然如果用戶點擊確認打開的話，惡意腳本就可以在後台自動下載可執行文件甚至是其他類型的惡意代碼等。

示例代碼：

下列代碼複製粘貼到文本中再將文本後綴改為.SettingContent-ms再打開，沒有提示的情況下會打開計算器。

直接下載研究人員製作好的示例代碼測試：https://dl.lancdn.com/landian/Script/test.SettingContent-ms

windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel

%windir%system32cmd.exe /c calc.exe

%windir%system32control.exe

@shell32.dll,-4161

@shell32.dll,-4161

越來越多的黑客參與測試試圖將其武器化：

目前研究人員掃描到越來越多的基於此類文件的腳本，黑客們試圖將此類文件製作成可利用的腳本用於攻擊。

但通過Microsoft Office OLE組件完成攻擊的話最終需要用戶確認，即用戶必須點擊打開按鈕才可完成攻擊。

目前尚未發現有黑客通過其他方式直接完成遠程文件的下載與執行，不知道後續黑客會不會獲得突破性進展。

當然既然現在事情已經發生按理說微軟應該會進行干預，如在Microsoft Office OLE中對調用方式進行調整。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！