Los accesos directos a la configuración de Windows 10 se pueden usar para ejecutar malware
Un investigador de seguridad de la firma SpecterOps ha descubierto que se puede abusar de un nuevo formato de archivo añadido en Windows 10 para ejecutar código malicioso en los equipos.
En concreto se refiere a SettingContent-ms, un formato que llegó a Windows 10 y que se usa para crear accesos directos a las páginas de configuración del sistema, algo que se creó como alternativa a las opciones clásicas del Panel de control. Estos nos son más que documentos XML con una etiqueta DeepLink que especifica la ubicación en disco de la página de configuración de Windows 10 y que se abre al hacer doble clic en estos accesos directos.
Pues bien, se ha descubierto que se puede reemplazar esta etiqueta DeepLink con cualquier otro ejecutable del sistema local, incluyendo enlaces a binarios como cmd.exe o PowerShell.exe, aplicaciones que permiten la ejecución de comandos shell. Al mismo tiempo Nelson se dio cuenta de que podía encadenar dos rutas binarias y ejecutarlas una tras otra, lo que significa que los atacantes pueden crear accesos directos maliciosos a SettingContent-ms que ejecutar código malicioso en segundo plano, luego muestran la página de configuración de Windows como si nada hubiera ocurrido.
Además, engañar a los usuarios para que abran estos archivos también es una tarea fácil, por ejemplo el investigador alojó un acceso directo de SettingContent-ms en un servidor web y pudo descargarlo y ejecutarlo sin que Windows 10 o Windows Defender alertara al usuario. Igualmente los atacantes pueden ocultar los archivos SettingContent-ms dentro de los documentos de Office, entre otros métodos de uso, ya que muchos no conocen esta extensión y podrían desconfiar de la misma.
Cómo usar SettingContent-ms para infectar Windows 10
Esto es algo que se logra con la ayuda de una función de Office llamada “Object Linking and Embedding” (OLE), función que permite integrar otros archivos en documentos de Office, lo que se usa mucho para ejecutar código malicioso en los equipos de los usuarios. Aunque Microsoft ha contrarrestado esta tendencia al no permitir la incrustación de ciertos tipos de archivos peligrosos en OLE, dado que SettingContent-ms es un nuevo tipo, no está incluido en la lista negra.
Así, los autores de malware pueden utilizar de forma fiable los tipos SettingContent-ms con los documentos de Office para ejecutar operaciones maliciosas. A esto hay que sumarle que este formato de Windows 10 también evita la función de seguridad ASR que intenta impedir que los documentos de Office inicien procesos de propagación desde un objeto Office OLE, de ahí su peligrosidad.
A pesar de ser avisados, Microsoft no consideró esto como una vulnerabilidad en el sistema operativo, y aunque no se solucionará en una actualización de seguridad, es probable que los archivos de SettingContent-ms acaben en la lista negra de formatos de archivo OLE en breve.