PB Tech
Jerome Segura, um importante pesquisador de segurança que trabalha com Malwarebytes, descobriu uma maneira de contornar as proteções de segurança no Microsoft Office usando um vetor de ataque que não requer macros. Isso vem na esteira de outros pesquisadores que recentemente encontraram métodos para usar atalhos de macro para abusar dos bancos de dados do Access.
Ao incorporar um arquivo de configurações em um documento do Office, os invasores podem usar a engenharia social para fazer os usuários executarem códigos perigosos sem notificações adicionais. Quando a técnica funciona, o Windows não exibe nenhuma mensagem de erro. Mesmo os enigmáticos podem ser contornados, o que ajuda a esconder o fato de que algo está acontecendo.
Um formato de arquivo específico do Windows 10 contém o código XML que pode criar atalhos para miniaplicativos no Painel de Controle. Este formato, .SettingContent.ms, não existia nas versões anteriores do Windows. Como resultado, eles não devem ser vulneráveis a essa exploração, tanto quanto os pesquisadores sabem.
Aqueles que implantaram o Office usando a camada de compatibilidade de aplicativos do Wine também não devem ter problemas, independentemente de estarem usando GNU / Linux ou macOS. Um dos elementos XML que esse arquivo contém, no entanto, pode causar estragos em máquinas Windows 10 em execução em bare metal.
DeepLink, como o elemento é conhecido, permite que pacotes binários executáveis sejam executados mesmo se eles tiverem opções e parâmetros após eles. Um invasor pode chamar o PowerShell e adicionar algo depois dele para que eles possam começar a executar o código arbitrário. Se preferirem, eles podem até chamar o interpretador de comandos legado original e usar o mesmo ambiente que a linha de comando do Windows fornece aos codificadores desde as primeiras versões do kernel do NT.
Como resultado, um invasor criativo pode criar um documento que pareça legítimo e fingir ser outra pessoa para fazer as pessoas clicarem em um link nele. Isso poderia, por exemplo, ser usado para baixar aplicativos de criptomineração na máquina da vítima.
Eles também podem enviar um arquivo por meio de uma grande campanha de spam. Segura sugeriu que isso deve garantir que os ataques clássicos de engenharia social não saiam de moda em breve. Embora esse arquivo deva ser distribuído a inúmeros usuários para garantir que alguns permitam a execução do código, isso deve ser possível disfarçando-o de outra coisa.
