Windows 10, scoperta vulnerabilità in Impostazioni. Microsoft minimizza

27 Giugno 2018 54

L'app Impostazioni di Windows 10, l'erede del Pannello di controllo, ha una vulnerabilità piuttosto seria che è stata scoperta di recente da un ricercatore della società di sicurezza SpecterOps. Può permettere a un hacker di lanciare programmi, bypassando tutti i controlli di Windows Defender e addirittura le regole Attack Surface Reduction (ASR) opzionali spesso usate in ambiente aziendale.

Il problema risiede, per la precisione, nei file con estensione .SettingContent-ms, che sono stati studiati per la creazione di deep link (collegamenti a pagine e funzioni ben precise) nell'app Impostazioni. Sono semplici file XML, che contengono un tag che punta alla posizione sul drive della pagina che verrà aperta quando l'utente clicca sul collegamento. Il problema è che in questo tag si possono inserire collegamenti che permettono di aprire qualsiasi tipo di programma. Niente di grave finché si parla della calcolatrice o Photoshop, un po' più preoccupante quando si parla di PowerShell o del prompt dei comandi.


Il ricercatore ha anche scoperto che è possibile concatenare l'apertura di due percorsi diversi: in questo modo, è possibile eseguire malware in background e mostrare comunque la giusta pagina delle Impostazioni che l'utente si aspetta cliccando il link, come se non fosse successo nulla.

Un'altra aggravante è che Windows Defender non interviene quando un utente scarica ed esegue un file SettingsContent-ms da internet (video dimostrazione qui sopra). D'altra parte, è vero che non tutti scaricherebbero un file con estensione sconosciuta da internet; ma le cose cambiano se il file è integrato in un documento Office usando la "famigerata" funzione OLE (Object Linking and Embedding). Negli anni, Microsoft ha creato una lista di file con estensioni non ammesse per limitare la diffusione di malware attraverso documenti Office ma, almeno per ora, SettingsContent-ms non è tra queste.

Particolarmente interessante il trucco usato per aggirare le regole ASR - nello specifico quella che impedisce alle applicazioni Office di eseguire processi figli: basta che il primo percorso nel tag DeepLink sia un'app inclusa nella whitelist dell'ASR.


SpecterOps ha segnalato la situazione a Microsoft, che però non la considera una vulnerabilità. È tuttavia lecito assumere che Office non permetterà più di integrare file con estensione SettingsContent-ms nei suoi documenti.


54

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Merdslie

Sempre in mezzo apple eh ahahah
Deve roderti parecchio qualcosa...però non capisco cosa

Merdslie

Minimizza....giusto per restare in tema

Simone Gliori

Commento inutile e senza senso

Tk Desimon
Morgan Freefarm

E questi file XML sono editabili dall'utente o serve essere admin?

jack 01

AHAHAHAHAH

Signor Citrus

Questo sistema di m...

Signor Citrus

Ma stanotte hai sognato granchi?

Edoardo Motta

Guarda io Windows lo uso solo perché mi serve per software e giochi, ma ci vuole davvero coraggio a difenderlo.
Dei 3 principali, insieme a OSX e Linux è indubbiamente il peggiore.

matteventu

Confermo, Iliad stato tu.

takaya todoroki

No, non lo è. leggi l'articolo per cortesia.
Il file di config non è blacklistato e quindi non chiede alcun permesso.

piantatela di dire 'è la stessa cosa' senza informarvi prima.

Davide

a quel punto tanto vale che apri un documento word con una macro in VB e la autorizzi. E' la stessa cosa.

takaya todoroki

No, basta che ti apri un documento word con dentro un collegamento OLE allo script embedded nel documento stesso.

Manny Calavera

Provero' nuovamente! Su windows 7 non avevo visto riduzioni di spazio della winSxS. Pulisce molto bene altro, tipo service pack, la cartella softwaredistribution, ecc...
Grazie!

deepdark

Edit: c'è anche questo www .thewindowsclub. com/dism-windows-os-image-customizer-size-reducer (togli gli spazi)

deepdark

dism.exe ti pulisce pure casa del vicino eh! Ed è pure pericoloso. Prova wise disk cleaner, mi pare vada anche lui a pulire winsxs.

Manny Calavera

No purtroppo! Questi sono strumenti integrati in windows. Utili per fare una pulizia di base ma non intervengono piu' di tanto sulla cartella winSxS. Era proprio un'utility di terze parti (tra l'altro con interfaccia solo inglese o cinese) molto spartana ma davvero efficace !!!

deepdark

e' lui? turbolab .it/manutenzione-156/come-recuperare-spazio-disco-fisso-windows-10-377

Manny Calavera

Vado un secondo O.T. ma restando su questo argomento. Tempo fa avevo trovato una bella utility che riduceva le dimensioni della cartella WinSXS laddove era di 20 o piu' GB (su windows 7 funzionanti da tanti anni non e' raro). Non riesco piu' a ritrovarla. Qualcuno puo' essere di aiuto? Grazie!

IlRompiscatole
Vash

'na sega.... di macos non me ne puo' fregar di meno, egoisticamente... e che tra microsoft e intel sei piu protetto se metti il preservativo alla scheda madre, kakkio

Carlo

"Ho stato io!" [cit.]

Luky

super mad fanboy

deepdark

Fammi sapere, io avevo un transformerbook, l'ho venduto per via della cpu troppo scarsa, avevo cmq 64gb di sd e 4 di ram.

deepdark

Se lo avvii potrebbe essere rilevato. Se lo nascondi nel root del sistema no (dipende).

Dr. Home

Io stavo scherzando xD

Bik On Fire

Commento fantastico

Davide

serve comunque un altro malware per modificare quel file. A questo punto qualsiasi cosa se modificata può essere sfruttabile, il punto è come arrivi a modificarla.

alex

Direi molto peggio del bug di root in quanto quello non è utilizzabile se la password di root è impostata, cosa che qualsiasi amministratore fa non appena accende per la prima volta il PC e poi il bug è stato subito fixato, a differenza di questo che non solo è di una gravità enorme ma non è neanche riconosciuto come tale da ms

Ditemi se ho capito bene:
- bisogna installare un virus ma non avviarlo
- bisogna modificare un file
- bisogna aprire le impostazioni

A quel punto si avvia il virus? Avviare il virus installato direttamente risulta troppo difficile?

fabrynet
fabrynet
Marco SoC
M3

forse piccolo no ma malato di sicuro visto che tutti sanno che sei un fanatico apple

BONS
kekkrix

Ci sono persone che se le incontri in mezzo alla strada non sono poi così scontrose, magari ti mantengono anche aperta la porta quando esci da qualche parte....poi però in una stanza con un pc si sentono sole ed abbandonate e si sfogano così, lascia stare ;)

fabrynet
joethefox

Ti sei alzato col piede sbagliato smattina?

fabrynet
kekkrix

diciamo che potevi anche essere un pò più delicato. E' dispersivo, una cosa oggettiva, non prenderla troppo sul personale su

SamBeOne

ora vedo, grazie. Se no devo usare una chiavetta. Uso tutti i giorni (anche in questo momento) un acer swich 10 che, ben settato (e con monitor e tastiera esterni) va benissimo per lavorare e non fa rumore essendo fanless (sono 4 anni che lo uso così). però i 32 GB di rom rendono gli aggiornamenti un calvario, nonostante abbia una sd da 120 che però non può essere utilizzata a tal fine. A sto punto Microsoft faceva prima a dire ai produttori che 64 gb di rom sono uno tra i vari requisiti minimi

C#Dev

Scusa, penso che tu ti stia sbagliando con MacOS visto che l'anno scorso tutte le versioni di Windows 10 contro tutte le versioni di MacOs in utilizzo oggi hanno avuto qualcosa come un centinaio di falle, bug e codici malevoli in meno.

Almeno i dati.

C#Dev

Aspetta aspetta.

Non vedo tutti gli Apple User che arrivano con la solita frase:

"è colpa dell'utente che non scarica file solo ed unicamente da fonti sicure"

oppure

"tanto adesso arriva il fix e non c'è problema".

Come?
Valgono solo per Apple?
Ah, la famosa coerenza.

-Simone-

Lol

C#Dev

Sì, hai proprio ragione.

Per le menti piccole è proprio un problema avere tutte le stesse identiche impostazioni di prima più una nuova interfaccia touch che sta mano a mano ricevendo tutte le migliaia combinazioni di impostazioni possibili dal vecchio pannello.

E' veramente troppo. Spero per te che non ti scoppi il cervello.

deepdark

Più che altro deve finirla di rilasciare aggiornamenti con cadenza quasi giornaliera, è ridicolo. In una settimana ho scaricato 2 aggiornamenti da 1.2gb ciascuno.
Cmq puoi liberare spazio usando wise disk cleaner, rimuovere anche i "rimasugli" degli aggiornamenti a patto però che non li devi disinstallare, altrimenti ti attacchi.

Stefano Ferri

Shhhh che quelli sono perfetti, esattamente come Android .

Sparda

Fino a quando faranno quegli introiti se ne fregano della user experience. Riguardo al alla vulnerabilità citata sicuramente arriverà un fix. Sinceramente mi sono rotto le bolas dei continui aggiornamenti

SamBeOne

Sei OT- Microsoft la deve finire di rompere le pelotas con aggiornamenti enormi che richiedono GB e GB di spazio. trovi un modo diverso di fare le cose

Achille

Ok ma...
Bisogna rimpiazzare questo file o comunque modificarlo. O lo si fa intenzionalmente o serve un altro eseguibile che lo faccia. Siamo sempre lì, è l’uomo che sbaglia

HDblog @ Computex 2018: live blog continuo dalla fiera

Tutte le novità di Windows 10 1803 "April 2018 Update"

Guida Acquisto: i migliori Notebook, Ultrabook e 2-in-1 | #NATALE 2017

Windows 10 1709 Fall Creators Update disponibile: tutte le novità