Mit den neuen Einstellungen unter Windows 10, hat Microsoft ein neues Dateiformat eingeführt. Der Dateityp ist SettingContent-ms, uns wohl besser bekannt als ms-settings: siehe hier die Liste der Verknüpfungen, die erstellt werden können. Diese SettingContent-ms-Dateien sind eigentlich nur XML-Dateien, die Anweisungen enthalten, was mit einem Doppelklick geöffnet werden soll. Und hier ist der Haken.
Denn diese DeepLink-Tag für die Anweisungen können durch andere Programme einfach ersetzt werden. So auch die PowerShell.exe oder cmd.exe, die dann zum Beispiel Schadcode einfügen kann, wie Matt Nelson (Sicherheitsforscher für SpecterOps) herausgefunden hat. Auf GitHub hat er einmal ein Beispiel dafür bereitgestellt.
Im Februar hat er dies Microsoft im Microsoft Security Response Center geschildert. Dort wurde es bestätigt und am 11.Juni wurde es dann veröffentlicht. Interessant dabei ist, dass bei der Ausführung einer geänderten XML-Datei weder der Windows Defender, noch das Sicherheitsfeature ASR (Attack Surface Reduction) anschlägt. Somit könnten Angreifer so einen Link auf einer Webseite platzieren und dieser wird dann ausgeführt. Hier ein kurzes Video.
Im Link ist die obrige Datei verknüpft und liegt auf einem Server von Matt. Ein Klick darauf lässt über die cmd.exe die Rechner App starten.
Viele solcher Möglichkeiten wurden schon unter Windows blockiert. So auch in der Office OLE. Nur die SettingContent-ms fehlt dort derzeit noch. Bedeutet, dass auch über Word oder Excel solche Befehle einfach ausführbar sind. Dies wird dann sicherlich bald über einen Patch nachgeholt und die SettingContent-ms-Dateien werden dann auch auf der Blacklist landen, damit diese nicht einfach ausgeführt werden können.
Eigentlich traurig, dass erst eine außenstehende Person, diesen Fehler finden muss. Denn immerhin existiert dieses neue Dateiformat seit 3 Jahren. Zeigt aber immer wieder man kann sich noch so abschotten, eine Möglichkeit gibt es immer, dass Unfug auf dem Rechner getrieben werden kann / könnte. Könnte trifft es in dem Fall eher. Denn ausgenutzt wurde diese Lücke bisher wohl noch nicht.
Windows 10 Tutorials und Hilfe
Ihr sucht weitere Tipps, Tricks und Tutorials für Windows 10? Dann schaut in unserem Wiki vorbei bzw. speichert die Seite in den Favoriten. Falls ihr Fragen habt, dann stellt diese (auch als Gast) ganz einfach bei uns im Forum. Wir werden versuchen euch bei euren Problemen zu helfen.
- Wichtige Tutorials im Wiki:
- Windows 10 1803 17134 neu installieren Tipps und Tricks
- Windows 10 1803 17134 lässt sich nicht installieren Tipps und Tricks
- Windows 10 reparieren, Fehler beheben, Win 10 Updates reparieren und richtig einstellen
- Windows 10 Autostart Programme entfernen und Festplatte / SSD aufräumen
- Ohne Passwort anmelden Windows 10
- Cortana entfernen, deaktivieren und OneDive entfernen
- Windows 10 Tipps zum Startmenü und Reparatur
Im Endeffekt der alte autorun.inf Trick. Stuxnet lässt grüßen.
Solche URI bzw. Dateien sollten auch nicht eben so mal ausgeführt werden können. Aber das ist falsches Programmdesign, wenn es geht.
Klar wird dann sowas übersehen, da Tester der Insider keine White Hats (Sicherheitshacker) sind, und die Qualitätssicherung bei Microsoft Bedienbarkeit vor Sicherheit gewichtet.
Was dem einen sein Office-Makro ist dem anderen sein ms-settings.