Af Nicolai Devantier, 19/06/18
SettingContent-ms er en XML-fil, der potentielt kan anvendes som transportvej til ondsindet kode.
Normalt anvendes fil-typen til at kontrollere kontrolpanelets indstillinger, men det har nu vist sig, at der kan implementeres ondsindet kode i XML-filen via tag’et <DeepLink>.
SettingContent-ms sniger sig uden om Microsofts Attack Surface Reduction ASR og OLE-beskyttelsen i Windows, som normalt anvendes til at filtrere kendte ’dårlige’ filer og sub-processer, og på den måde smutter XML-filen uset gennem sikkerhedsnåleøjet.
Det er altså tale om en ny måde at transportere malware på.
Selv om fil-endelsen er ny i forbindelse med et angreb, der kan snyde processerne i Windows, så er selve fremgangsmetoden for den skadelige kode den samme, der anvendes i mange andre angrebstyper eksempelvis via JavaScript eller Visual Basic.
Der implementeres ondsindet kode, der så kan afvikles på systemet, kalde til eksterne servere eller på anden måde pege i retning af ondsindede processer.
For at aktivere den skadelige kode kræver det, at en bruger klikker på et link eksempelvis i en phishing-mail. Koden kan også inkluderes i et Office-dokument.
Der findes i øjeblikket ingen rettelse, der lukker for problemet.
Anbefaling:
Bloker for SettingContent-ms i email og ved åbning af MS Office-dokumenter. Uddan dine medarbejdere, så de ikke klikker på - eller åbner ukendte dokumenter eller phishing-mails. Opdater altid dit antivirusprogram med de nyeste signaturer. Opdater altid med de nyeste rettelser fra software-producenterne.
Links:
- The Tale of SettingContent-ms Files, blog fra Specterops.
- Weaponizing .SettingContent-ms Extensions for Code Execution, blog fra Trustedsec.