Windows 10: Schwachstelle .SettingContent-ms

Publiziert am 27. Juni 2018 von Günter Born

[English]Für Windows 10 hat Microsoft ein neues Dateiformat (.SettingContent-ms) eingeführt. Dieses erweist sich aber als Schwachstelle, lassen sich über die unterlagerten XML-Strukturen doch beliebige Befehle und Anwendungen zur Ausführung festlegen.

Anzeige

Das 2015 mit Windows 10 eingeführte .SettingContent-ms-Dateiformat ermöglicht Verknüpfungen zu den Einstellungen, die in der Einstellungen-App verwaltet werden. Das Ganze soll ja die Windows Systemsteuerung ablösen.

Das Ganze lässt sich missbrauchen

Normalerweise gehen ja alle Bestrebungen dahin, dass die Ausnutzung von Sicherheitslücken, die in diversen Dateiformaten lauern, verhindert wird. Daher blockiert man die Ausführung von Makros in Office-Dokumenten oder die Verwendung von Scripten etc. Sicherheitsforscher Matt Nelson bei SpecterOps schreibt nun, dass das .SettingContent-ms-Dateiformat eine Schwachstelle in Windows 10 sei, über welche sich Befehle einbinden und ausführen lassen.

SettingContent-ms
(Quelle: SpecterOps)

Obiger Screenshot zeigt einen Auszug aus der XML-Struktur, bei dem der DeepLink-XML-Knoten einen Befehl zum Aufruf des Taschenrechners enthält. Das Ganze würde sich hinter einem Link in den Einstellungen verstecken. Wählt der Benutzer einen solchen vermeintlichen Link an, führt er den dahinter liegenden Code aus. 

Ein Angreifer, der die betreffende XML-Datei manipulieren kann, besitzt die Möglichkeit, faktisch beliebige ausführbare Befehle dort in DeepLink-Knoten unterzubringen. So könnten PowerShell-Befehle etc. eingespeist werden. Auf GitHub hat Matt Nelson ein entsprechendes Beispiel einer modifizierten Datei veröffentlicht. Man kann quasi Remote-Programme über solche Verknüpfungen aufrufen.

(Quelle: YouTube)

Das obige Video zeigt, wie sich eine solche Datei zum Aufrufen der Eingabeaufforderung oder des Rechners aufrufen lässt.

Wenn ich es richtig verstanden habe, lassen sich SettingContent-ms-Dateien in Office-Dokument einbinden. Das ermöglicht natürlich diverse Angriffsszenarien per OLE aus Office-Dokumenten. Matt Nelson hat seine Erkenntnisse bereits im Februar 2018 an das Microsoft Security Response Center geschickt. Die haben die Erkenntnisse zwar bestätigt, es lässt sich aber nichts fixen. Und nun wird es interessant: Befehle, die durch eine geänderte SettingContent-ms-Datei vom Benutzer aufgerufen werden, blocken weder der Windows Defender noch das Sicherheitsfeature ASR (Attack Surface Reduction).

Anzeige

Martin Geuß schreibt hier: Natürlich kann auf diese Weise ein System nicht gleich übernommen werden, denn die Ausführung erfolgt im Benutzer-Kontext und somit ohne administrative Rechte, aber auch damit lässt sich ja schon eine ganze Menge anstellen.

An dieser Stelle möchte ich auch noch auf meinen Blog-Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit? vom Februar 2017 hinweisen. Dort habe ich darauf hingewiesen, dass administrative Aufgaben in der Einstellungen-App nur dann verfügbar sind, wenn die Leute unter Administratorkonten angemeldet sind. Bei der alten Systemsteuerung lassen sich dagegen von normalen Benutzerkonten administrative Funktionen per UAC aufrufen (siehe Screenshot).

Funktionen mit UAC-Kennzeichnung

Der Beitrag hat seinerzeit zu kontroversen Diskussionen geführt. Mein Eindruck ist aber, dass die Leute, die häufiger administrative Aufgaben erledigen müssen, eher geneigt sind, ständig unter einem Administratorkonto anzumelden und zu arbeiten (das ist einfach bequemer). Dann lassen sich aber UAC-Bypassing-Methoden für Angriffe verwenden.

Neben dem oben verlinkten Beitrag des Sicherheitsforschers hat Bleeping Computer hier eine Übersicht zusammen getragen. Schätze, da wird Microsoft sich was einfallen lassen müssen.

Ähnliche Artikel:
Windows 10: ms-settings:-Befehle für Einstellungen
Windows 10: Schnellzugriff auf Einstellungen per God-Mode
Windows: Fehlende Administratorrechte stopfen 94% aller Sicherheitslücken!
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)
Erebus Ransomware und die ausgetrickste UAC
Windows: Sicherheitslücke über LNK-Codeausführung

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows 10: Schwachstelle .SettingContent-ms

  1. Stefan Kanthak sagt:
    28. Juni 2018 um 11:59 Uhr

    Über die nicht nur in .SettingContent-ms hinterlegten Kommandozeilen können nur dann beliebige Programme ausgeführt werden, wenn der Administrator das nicht unterbunden hat.
    Ich empfehle wieder einmal das AUFMERKSAME Lesen von https://skanthak.homepage.t-online.de/SAFER.html sowie https://skanthak.homepage.t-online.de/uacamole.html und https://skanthak.homepage.t-online.de/malware.html

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.