Af Nicolai Devantier, 04/07/18
Malware-udviklere har rettet blikket stift mod den SettingContent-ms-svaghed i Windows, der blev afsløret i begyndelsen af juni.
Tricket består i at udnytte Windows Settings (.SettingContent-ms), som er en XML-fil. Normalt anvendes fil-typen til at kontrollere kontrolpanelets indstillinger, men det har vist sig, at der kan implementeres ondsindet kode i XML-filen via tag’et <DeepLink>.
SettingContent-ms sniger sig uden om Microsofts Attack Surface Reduction ASR og OLE-beskyttelsen i Windows, som normalt anvendes til at filtrere kendte ’dårlige’ filer og sub-processer, og på den måde smutter XML-filen uset gennem sikkerhedsnåleøjet.
Sikkerhedsforskere følger naturligvis hele tiden udviklingen, og nu har en sikkerhedsmand fra firmaet FireEye rapporteret om den første udnyttelseskæde, som benytter en SettingsContent-ms-fil til at downloade og installere egentlig malware.
Helt konkret vil SettingContent-ms-filen hente og afvikle en eksekverbar fil, der indeholder Remcos Remote Access Trojan (RAT). Remcos er et lyssky fjernadministrationsværktøj, der blev opdaget i 2016.
Opdagelsen tyder på, at der bliver oprustet i forhold til at udnytte svagheden i Windows.
Der findes i øjeblikket ingen rettelse, der lukker for problemet.
Anbefaling:
Bloker for SettingContent-ms i e-mail og ved åbning af MS Office-dokumenter. Uddan dine medarbejdere, så de ikke klikker på - eller åbner ukendte dokumenter eller phishing-mails. Opdater altid dit antivirusprogram med de nyeste signaturer. Opdater altid med de nyeste rettelser fra software-producenterne.
Links:
- Malware Authors Seem Intent on Weaponizing Windows SettingContent-ms Files, artikel fra Bleepingcomputer.
- Sådan snyder SettingContent-ms ondsindet kode ind i dit system, nyhed fra DKCERT.
- The Tale of SettingContent-ms Files, teknisk analyse af SettingContent-ms.
- REMCOS: A New RAT In The Wild, information om Remcos fra Fortinet.