Una de las novedades
que llegaron con Windows 10 fue el renovado panel de Configuración del sistema
operativo. Desde este apartado los usuarios pueden acceder mucho más fácilmente
que desde el Panel de Control a una gran cantidad de configuraciones del
sistema. A pesar de la innegable utilidad de este panel de Configuración, para
que Microsoft no ha comprobado demasiado su seguridad, y es que acaban de
descubrir que es posible utilizar este panel de Configuración para ejecutar
código de forma remota y poner en peligro la seguridad de los usuarios.
El panel de
Configuración de Windows 10 hace uso de una nueva función, llamada
“SettingContent-ms“, que fue introducida en 2015 con la llegada de la primera
versión de Windows 10. A grandes rasgos, esta función no es más que un fichero
XML que funciona como un acceso directo de manera que, cuando un usuario lo
ejecuta, abre la pantalla de Configuración correspondiente con sus opciones.
La función
“SettingContent-ms” cuenta con una etiqueta, DeepLink, que se encarga de
especificar la ubicación exacta del disco donde se encuentra la entrada de la
configuración en concreto. Si hacemos doble clic sobre este acceso directo, el
sistema operativo lee esta etiqueta y abre el fichero al que está apuntando.
Windows 10 no controla qué tipo de archivo se
abre desde las etiquetas DeepLink
Cuando el usuario
hace una llamada desde un acceso directo al menú de Configuración del sistema
operativo, este se abre con normalidad. Sin embargo, al ser un fichero XML es
muy fácil abrirlo, ver sus propiedades y modificarlas, modificando, por
ejemplo, la etiqueta DeepLink correspondiente.
Así, en vez de hacer
una llamada al menú de Configuración, es muy sencillo modificar estos accesos
directos para abrir PowerShell o CMD con una serie de parámetros que permiten
ejecutar código en el sistema. Además, también existe la posibilidad de
utilizar esta técnica en ataques más complejos, apuntando directamente a un
malware previamente descargado para que se ejecute sin que el usuario sea
consciente de ello.
Técnicas con las que pueden infectar nuestro
ordenador utilizando los DeepLink
Los expertos de
seguridad que han demostrado este fallo de seguridad han podido demostrar
varias formas por las que este ataque sería posible. Una de las clásicas, como
era de esperar, es utilizando objetos OLE (Object Linking and Embedding) de
Office para hacer estas llamadas a la Configuración del sistema dado que
SettingContent-ms no está en la lista negra.
Otra técnica bastante
preocupante que hace posible este ataque es que Windows 10 permite hacer
llamadas al menú de Configuración desde Microsoft Edge sin comprobarlas
previamente y sin mostrar al usuario, por ejemplo, una notificación o comprobar
realmente el DeepLink que se ejecuta.
Por último, esta
técnica es capaz de evadir las medidas de seguridad de Windows 10 y las
funciones de mitigación de amenazas de Windows Defender, y cualquier antivirus,
incluso la función Attack Surface Reduction (ASR) ya que, en un principio, este
tipo de llamadas era inofensivo, hasta ahora que se ha descubierto su verdadera
peligrosidad.
Ahora habrá que
esperar a ver si Microsoft decide corregir este fallo de seguridad ahora que se
ha dado a conocer y que, no tardando, empezará a ser explotado por piratas
informáticos.
Fuente: bleepingcomputer
