Jako by nestačilo to, co bylo uveřejněno v předchozí novince. Máme zde totiž další zneužitelný formát souborů, tentokrát s příponou .SettingContent-ms…
Paradoxně byl tento „úlet“ zaveden až do Windows 10. Výjimečně tak můžeme tvrdit, že majitelé starších verzí Windows jsou v bezpečí 🙂 Soubor s příponou .SettingContent-ms je vlastně jen nenápadným zástupcem, který otevírá dialog s nastavením Windows (Windows Settings). Ač to podle přípony nevypadá, jde strukturou o XML soubor, který obsahuje i klíčový element <DeepLink>. V něm uvedenou cestu lze jednoduše zaměnit a místo nastavení Windows tak spustit jakýkoliv jiný EXE soubor. Utočníkům se pak nabízí zavolat rovnou PowerShell.exe a zřetězit několik příkazů od stažení havěti z internetu až po její spuštění!
Jelikož jde o relativně neznámou příponu, může být pro uživatele snažší takový soubor spustit, neboť nebude varován vůbec, nebo jen minimálně! Neznámá je vlastně i pro jiné aplikace Microsoftu. Dokonalým příkladem budiž chování Microsoft Office. Pokud soubor .SettingContent-ms vložíme do Wordovského dokumentu (OLE), uživatel nebude o jeho nebezpečnosti při spuštění varován (zatímco například u EXE ano). Přitom zrovna šíření havěti skrze dokumenty Wordu je docela oblíbené, neboť může rovnou obsahovat popisný návod, co vše musí uživatel udělat (povolit makra, ignorovat varování, …).
Ponaučení: prostě si dejte na příponu souboru SettingContent-ms majzla. Nemusí být nutně neškodná.
Dobrý den,
Chtěl jsem se zeptat, jak na příponu reagují antivirové programy?
Antivirové programy nedetekují dle přípony, ale dle obsahu.