Jako by nestačilo to, co bylo uveřejněno v předchozí novince. Máme zde totiž další zneužitelný formát souborů, tentokrát s příponou .SettingContent-ms

Paradoxně byl tento „úlet“ zaveden až do Windows 10. Výjimečně tak můžeme tvrdit, že majitelé starších verzí Windows jsou v bezpečí 🙂 Soubor s příponou .SettingContent-ms je vlastně jen nenápadným zástupcem, který otevírá dialog s nastavením Windows (Windows Settings). Ač to podle přípony nevypadá, jde strukturou o XML soubor, který obsahuje i klíčový element <DeepLink>. V něm uvedenou cestu lze jednoduše zaměnit a místo nastavení Windows tak spustit jakýkoliv jiný EXE soubor. Utočníkům se pak nabízí zavolat rovnou PowerShell.exe a zřetězit několik příkazů od stažení havěti z internetu až po její spuštění!

Zdroj: bleepingcomputer.com

Jelikož jde o relativně neznámou příponu, může být pro uživatele snažší takový soubor spustit, neboť nebude varován vůbec, nebo jen minimálně! Neznámá je vlastně i pro jiné aplikace Microsoftu. Dokonalým příkladem budiž chování Microsoft Office. Pokud soubor .SettingContent-ms vložíme do Wordovského dokumentu (OLE), uživatel nebude o jeho nebezpečnosti při spuštění varován (zatímco například u EXE ano). Přitom zrovna šíření havěti skrze dokumenty Wordu je docela oblíbené, neboť může rovnou obsahovat popisný návod, co vše musí uživatel udělat (povolit makra, ignorovat varování, …).

Ponaučení: prostě si dejte na příponu souboru SettingContent-ms majzla. Nemusí být nutně neškodná.


2 komentáře » for Říká vám něco „SettingContent-ms“? Útočníkům bohužel ano
  1. Daniel Sisr napsal:

    Dobrý den,
    Chtěl jsem se zeptat, jak na příponu reagují antivirové programy?

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.