{"id":206061,"date":"2018-06-27T19:14:25","date_gmt":"2018-06-27T17:14:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206061"},"modified":"2024-08-12T13:22:26","modified_gmt":"2024-08-12T11:22:26","slug":"windows-10-schwachstelle-settingcontent-ms","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/27\/windows-10-schwachstelle-settingcontent-ms\/","title":{"rendered":"Windows 10: Schwachstelle .SettingContent-ms"},"content":{"rendered":"

[English]F\u00fcr Windows 10 hat Microsoft ein neues Dateiformat (.SettingContent-ms<\/em>) eingef\u00fchrt. Dieses erweist sich aber als Schwachstelle, lassen sich \u00fcber die unterlagerten XML-Strukturen doch beliebige Befehle und Anwendungen zur Ausf\u00fchrung festlegen.<\/p>\n

<\/p>\n

\"\"Das 2015 mit Windows 10 eingef\u00fchrte .SettingContent-ms<\/em>-Dateiformat erm\u00f6glicht Verkn\u00fcpfungen zu den Einstellungen, die in der Einstellungen<\/em>-App verwaltet werden. Das Ganze soll ja die Windows Systemsteuerung abl\u00f6sen.<\/p>\n

Das Ganze l\u00e4sst sich missbrauchen<\/h2>\n

Normalerweise gehen ja alle Bestrebungen dahin, dass die Ausnutzung von Sicherheitsl\u00fccken, die in diversen Dateiformaten lauern, verhindert wird. Daher blockiert man die Ausf\u00fchrung von Makros in Office-Dokumenten oder die Verwendung von Scripten etc. Sicherheitsforscher Matt Nelson bei SpecterOps schreibt<\/a> nun, dass das .SettingContent-ms<\/em>-Dateiformat eine Schwachstelle in Windows 10 sei, \u00fcber welche sich Befehle einbinden und ausf\u00fchren lassen.<\/p>\n

\"SettingContent-ms\"
\n(Quelle: SpecterOps)<\/p>\n

Obiger Screenshot zeigt einen Auszug aus der XML-Struktur, bei dem der DeepLink-XML-Knoten einen Befehl zum Aufruf des Taschenrechners enth\u00e4lt. Das Ganze w\u00fcrde sich hinter einem Link in den Einstellungen verstecken. W\u00e4hlt der Benutzer einen solchen vermeintlichen Link an, f\u00fchrt er den dahinter liegenden Code aus.<\/p>\n

Ein Angreifer, der die betreffende XML-Datei manipulieren kann, besitzt die M\u00f6glichkeit, faktisch beliebige ausf\u00fchrbare Befehle dort in DeepLink-Knoten unterzubringen. So k\u00f6nnten PowerShell-Befehle etc. eingespeist werden. Auf GitHub hat Matt Nelson ein entsprechendes Beispiel<\/a> einer modifizierten Datei ver\u00f6ffentlicht. Man kann quasi Remote-Programme \u00fcber solche Verkn\u00fcpfungen aufrufen.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

Das obige Video zeigt, wie sich eine solche Datei zum Aufrufen der Eingabeaufforderung oder des Rechners aufrufen l\u00e4sst.<\/p>\n

Wenn ich es richtig verstanden habe, lassen sich SettingContent-ms<\/em>-Dateien in Office-Dokument einbinden. Das erm\u00f6glicht nat\u00fcrlich diverse Angriffsszenarien per OLE aus Office-Dokumenten. Matt Nelson hat seine Erkenntnisse bereits im Februar 2018 an das Microsoft Security Response Center geschickt. Die haben die Erkenntnisse zwar best\u00e4tigt, es l\u00e4sst sich aber nichts fixen. Und nun wird es interessant: Befehle, die durch eine ge\u00e4nderte SettingContent-ms<\/em>-Datei vom Benutzer aufgerufen werden, blocken weder der Windows Defender noch das Sicherheitsfeature ASR (Attack Surface Reduction).<\/p>\n

Martin Geu\u00df schreibt hier<\/a>: Nat\u00fcrlich kann auf diese Weise ein System nicht gleich \u00fcbernommen werden, denn die Ausf\u00fchrung erfolgt im Benutzer-Kontext und somit ohne administrative Rechte, aber auch damit l\u00e4sst sich ja schon eine ganze Menge anstellen.<\/em><\/p>\n

An dieser Stelle m\u00f6chte ich auch noch auf meinen Blog-Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit?<\/a> vom Februar 2017 hinweisen. Dort habe ich darauf hingewiesen, dass administrative Aufgaben in der Einstellungen<\/em>-App nur dann verf\u00fcgbar sind, wenn die Leute unter Administratorkonten angemeldet sind. Bei der alten Systemsteuerung lassen sich dagegen von normalen Benutzerkonten administrative Funktionen per UAC aufrufen (siehe Screenshot).<\/p><\/blockquote>\n

\"Funktionen<\/p>\n

Der Beitrag hat seinerzeit zu kontroversen Diskussionen gef\u00fchrt. Mein Eindruck ist aber, dass die Leute, die h\u00e4ufiger administrative Aufgaben erledigen m\u00fcssen, eher geneigt sind, st\u00e4ndig unter einem Administratorkonto anzumelden und zu arbeiten (das ist einfach bequemer). Dann lassen sich aber UAC-Bypassing-Methoden f\u00fcr Angriffe verwenden.<\/p><\/blockquote>\n

Neben dem oben verlinkten Beitrag des Sicherheitsforschers hat Bleeping Computer hier<\/a> eine \u00dcbersicht zusammen getragen. Sch\u00e4tze, da wird Microsoft sich was einfallen lassen m\u00fcssen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10: ms-settings:-Befehle f\u00fcr Einstellungen<\/a>
\nWindows 10: Schnellzugriff auf Einstellungen per God-Mode<\/a>
\nWindows: Fehlende Administratorrechte stopfen 94% aller Sicherheitsl\u00fccken!<\/a>
\nWindows10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a>
\nErebus Ransomware und die ausgetrickste UAC<\/a>
\nWindows: Sicherheitsl\u00fccke \u00fcber LNK-Codeausf\u00fchrung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]F\u00fcr Windows 10 hat Microsoft ein neues Dateiformat (.SettingContent-ms) eingef\u00fchrt. Dieses erweist sich aber als Schwachstelle, lassen sich \u00fcber die unterlagerten XML-Strukturen doch beliebige Befehle und Anwendungen zur Ausf\u00fchrung festlegen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[1782,4378],"class_list":["post-206061","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheitslucke","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206061","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=206061"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206061\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=206061"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=206061"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=206061"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}