Le type de fichier utilisé pour établir un lien vers la page des paramètres Windows 10 peut être utilisé de manière abusive pour lancer des exécutables malveillants ou des commandes, afin de contourner les défenses du système d’exploitation.
L’expert Matt Nelson de SpectreOps a fait cette découverte alors qu’il cherchait de nouveaux formats que des hackers pourraient utiliser de manière malveillante, à présent que les fichiers HTML Applications (fichiers HTA), Visual Basic (VBS), JavaScript (JS), PDF et Office sont étroitement contrôlés par Office 365 et Windows 10.
Nelson a trouvé un format que peu de gens connaissent, à part Microsoft : .SettingContent-ms, utilisé pour créer des raccourcis vers la page des paramètres, le successeur du Panneau de configuration.
Un fichier avec cette extension est tout simplement un fichier XML qui contient des chemins d’accès vers des programmes utilisés pour configurer les paramètres Windows 10.
Cette possibilité donne une certaine puissance par le biais d’une option dans .SettingContent-ms appelée “DeepLink“, qui spécifie l’emplacement sur le disque qui est invoqué lors de l’ouverture de la page des Paramètres ou du Panneau de configuration.
Nelson a découvert que “DeepLink” pouvait être utilisé pour ouvrir n’importe quoi, par exemple CMD.EXE, PowerShell, ou même une chaîne de commandes, déclenchée via un lien internet :
Donc, nous avons maintenant un type de fichier qui permet l’exécution de commandes shell arbitraires en n’affichant aucun avertissement et aucune boîte de dialogue à l’utilisateur.
Office bloque normalement les types de fichiers, couramment abusés, lorsqu’ils sont référencés en externe, mais ce format de fichier n’est apparemment pas considéré comme risqué.
A partir de là, il n’est peut-être pas surprenant que .SettingContent-ms semble actuellement offrir un moyen de contourner les récentes fonctionnalités de sécurité telles que Attack Surface Reduction (ASR), qui peut être activée dans Windows Defender Exploit Guard à partir de Windows 10 Build 1709.
Destiné aux entreprises, ASR est une collection de règles de comportement, y compris une destinée à la Création de Processus Enfant, qui selon Nelson, pourrait être utilisée pour empêcher .SettingContent-ms d’exécuter des programmes.
Malheureusement, cela peut être contourné simplement en utilisant un chemin d’accès autorisé à une application appelée AppVLP.exe qui peut déjà démarrer les processus enfant :
Parfait! Nous sommes en mesure de duper AppVLP pour exécuter des commandes shell. Normalement, ce binaire est utilisé pour la Virtualisation d’Applications, mais nous pouvons l’utiliser comme un binaire malveillant pour contourner la règle du chemin d’accès à un fichier ASR.
Lorsque Nelson a signalé cette vulnérabilité potentielle à Microsoft :
MSRC a répondu en signalant que la gravité de ce problème était en dessous du seuil d’alerte pour déclencher une action corrective et que le dossier serait fermé.
En fait, il semble que ce soit vraiment un problème de configuration qui pourrait être corrigé en utilisant une règle ASR ou via le blocage OLE d’Office. Nelson propose ses propres suggestions pour l’atténuation, y compris la surveillance des processus enfant à l’aide de Sysmon.
Nelson conclut que pour toutes ses améliorations, l’évolution de Windows 10 est toujours susceptible d’offrir des éléments nouveaux et inattendus à exploiter :
Après avoir regardé dans ASR et les nouveaux formats de fichiers dans Windows 10, j’ai réalisé qu’il est important d’essayer et d’auditer de nouveaux binaires et types de fichiers qui sont ajoutés dans chaque nouvelle version de Windows.
Billet inspiré de Windows 10 security can be bypassed by Settings page weakness, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.