Windows 10 et 8.1 : du danger potentiel des fichiers ".SettingContent-ms" (faille, taille XML) !

Alors que la Coupe du Monde 2018 bat son plein, avec des passes et des offensives - in extremis - redoutables faisant la joie des uns et le malheur des autres, certaines extensions de fichiers peuvent être redoutable pour un système vulnérable qui ne redoublerait pas de vigilance en alertant l'utilisateur avant de télécharger un type de contenu potentiellement dangereux... Un rappel à l'ordre sur le danger potentiel des fichiers ".SettingContent-ms", un format usité dans Windows 8.1 et Windows 10 et permettant de configurer le système en créant des raccourcis-systèmes comprenant du langage XML et qui ne subirait aucun contrôle ou avertissement du système lorsque l'utilisateur tenterait, alors, de télécharger ce type de fichiers pouvant être vecteur de vulnérabilités probables. Une menace considérée comme peu élevée par Microsoft...

 

 

Comme détaillé dans le billet de Matt Nelson, du 13 Juin dernier, la vulnérabilité mise en lumière pourrait permettre d'exploiter un résidu sécuritaire corrigé, alors, en 2016, corrompant la mémoire à partir de fichiers Excel, Word voire la plupart des produits Office de l'époque, ce qui avait obligé Microsoft à revoir la suite bureautique, en créant un "package OLE" permettant de se prémunir de telles attaques mais, également, l'avènement de l'ASR (Attack Surface Reduction), un bouclier supplémentaire permettant d'autoriser ou non telle ou telle commandes / applications de s’exécuter dans le programme "principal" (ici, Office). Avec toutes ces rustines et précautions, la boucle était bouclée... Selon Matt Nelson, pas tout à fait !

 

"Nous avons un format de fichier qui permet l'exécution de la commande shell via un fichier ouvert. Cela résout le problème "quel format de fichier à utiliser" en accès initial. [...] Ma prochaine pensée a été de voir ce qui se passerait si ce fichier venait directement d'internet via un lien", déclame l'analyste sécuritaire, remettant en question la manière dont s'ouvre les fichiers sous Windows 8.1 (support jusqu'en 2023 !) et Windows 10, surtout, puisqu'un simple double-clique suffit à ouvrir le fichier incriminé... sans aucun question ou boîte de dialogue préalable ; gloups !

 

 

Pour le reste, rien de bien compliqué : actuellement et hors édition Entreprise de Windows 10, l'ASR n'est pas disponible et quand il est activable, d'une part, il ne comprend pas cette extension dans ses règles précieuses et, d'autre part, même active, cette fonction peut-être contournée depuis AppVLP pour mieux modifier, ainsi les règles ASR, avec les conséquences que l'on peut imaginer avec, cerise sur le gâteau, une impossibilité d'activer cette fonction (même en édition Entreprise donc) "si Office a été installé à partir du Windows Store" ; re-gloups !

En incluant l'extension ".SettingContent-ms" dans ce système de blocage (listing), le problème devrait être résolu assez vite (?), si tant est qu'il n'y ait pas d'autres moyens d'intrusions pour cette faille exploitant, en théorie, une faille déjà patchée, donc, de 2016 ; Microsoft devrait faire la lumière sur le sujet assez vite... A suivre !

 

Source : Specter OPS - 11 Juin 2018 - Fichiers de type SettingContent-ms.