Windows 10では拡張子「.SettingContent.ms」のファイルに任意のコードを書ける 26
ストーリー by hylom
バッチファイルのようなものか 部門より
バッチファイルのようなものか 部門より
Windows 10で使われる、拡張子が「.SettingContent.ms」のファイルには任意のコードを記述できるという危険性があるという。Microsoftはこれを仕様としており、修正される予定はないようだ(マイナビニュース
この拡張子を持つファイルは「設定コンテンツファイル」などと呼ばれ、Explorerから実行することでWindows 10の各種設定画面を呼び出すことができる(利用法の解説記事)。このファイルにはXML形式で各種情報が記述されているのだが、この中の「DeepLink」要素には任意のコードが記述でき、ファイルを実行した際にこのコードが実行される仕組みになっているという。
これを悪用し、ターゲットのPCに何らかの方法で悪意のある処理を行う.SettingContent.msファイルを送り込んで実行させることで、マルウェアに感染させるといったことが可能になるという。
そんなもんか (スコア:5, すばらしい洞察)
> ターゲットのPCに何らかの方法で悪意のある処理を行う.SettingContent.msファイルを送り込んで実行させることで
こんなことできるならexe送り込めばいいんじゃないのか
Re: (スコア:0)
exeはさすがにメールにつけてきたら通らないことが多いし、Gmailも受け取ってくれないから、settingcontent-msファイルをZIPとかに詰めてフォルダにアイコンを偽装してクリックさせるとかするんじゃあるまいか?
最近はメールじゃ変なものが入ってるRARもZIPも通らなくなったからなのか、ISOファイルにしてマウントさせる手口のも見るぞ。
Re:そんなもんか (スコア:1)
settingcontent-msでアイコン偽装って難しい気がする。なにしろexeじゃない、というか中身は生のXMLだし。
Re: (スコア:0)
パスワード付き7z(ファイル名暗号化オプションON)で良いんじゃないかな…
二重zipにして外側にパスワード設定でもいいけど。
アイコン偽装は…desktop.iniとかで出来るかもしれんけどそのファイルの属性が展開されないと駄目だしアーカイバ依存だから苦しい気がする。
ISOマウントをちゃんとできつつも素直に引っかかってくれる事に期待するよりは楽なんかな?
パス付き7z/二重zipのが楽だと思うけど。
Re: (スコア:0)
だからこその「これを仕様としており、修正される予定はない」なんだろうね。
ちょうど今日、 (スコア:1)
バックアップを取ってたら、WindowsDefenderが↓のファイルが脅威だって言い出したんだけど…
file: \Device\HarddiskVolumeShadowCopy423\Users\##########\AppData\Local\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP\ControlPanel.settingcontent-ms
Re:ちょうど今日、 (スコア:1)
書ける仕様は、つまるところバッチファイル(というかシェルスクリプトというべきか?)的なので修正はしない
ただ、中身に危険なものがあるなら、Defenderとかが検出する、という動作は妥当
ということだろうか?
まあ、「curl xxx | shでインストールしてね」といいつつ攻撃スクリプトだ、ってものがあったら*nixでも攻撃発動するだろうし(直接じゃなくても、*.xzファイルダウンロード、展開、ビルドスクリプトとみせて攻撃、とか)
その意味では「注入という行為に使われる、スクリプトファイルというものに任意のコードが書けること」は脆弱性とは言えない、かな...
Re:ちょうど今日、 (スコア:1)
つまるところ「コマンドラインとして実行される」ので、バッチファイル名を書けばそのバッチが実行されるし、「PowerShell ~」と書けば任意のPowerShellスクリプトを実行可能、といったところかと。
コマンドライン扱いの実行なら、たぶん管理者権限が必要ならUACダイアログは出るのだろうな
うじゃうじゃ
Re: (スコア:0)
ビッグデータツールチェインのセキュリティはビッグリスク、あるいは、誰もHadoopをスクラッチからビルドする方法を知らない件について [blogspot.com]
この記事を思い出した。
元ブログの本文からして間違っているが (スコア:1)
× .SettingContent.ms
○ .SettingContent-ms
https://blog.malwarebytes.com/wp-content/uploads/2018/07/bait_doc.png [malwarebytes.com]
Re:元ブログの本文からして間違っているが (スコア:1)
typo だったのか。てっきり、最近の Windows ではいつの間にか、.tar.gz みたいな二重拡張子が認識できるようになってたのかと期待したのに・・・
# ただの誤解だったので ID
Re: (スコア:0)
--
ほんとに3DS続けてんのかよ。ほんとに3DS続けてんのかよ。ほんとに3DS続けてんのかよ。ほんとに3DS続けてんのかよ。ほんとに
Re: (スコア:0)
幇助した扱いされないように
わざと書き間違えているんですよ。たぶん
拡張子が見えなくなる (スコア:1)
Windows10です。
空のテキストをリネームして作ってみたんですが、試しにダブルクリックしてみるとエラーが出るので、これは実行が関連付けされているということでしょうか?
その場合、アイコンがデフォルトの白い奴だったので.txt等に偽装されると割りと厄介だと思います。
どこにあるんだろ? (スコア:0)
Windows8.1では各ユーザのAppDataの下とかに大量のsettingcontent-ms拡張子のファイルがあるんだけど、Windows10で探しても出てこないな…既にイラナイ子なんだけど、互換性で残ってる機能なんじゃ??
Re: (スコア:0)
バージョン1703だと C:\Windows\ImmersiveControlPanel\Settings に大量にあるけど1709だと一つも無いな
Re: (スコア:0)
バージョン1803だと、AllSystemSettings_{253E530E-387D-4BC2-959D-E6F86122E5F2}.xmlというファイルが1個だけあった。中身は従来たくさんあったファイルを1つにまとめたものらしい。細かいファイルがたくさんあるのはいろいろ非効率だから形式変更したんだろう。もともと文書化された仕様じゃないし、Windows 10以降MSもこのレベルの内部仕様に依存したアプリはどんどん切り捨てていく方針に変わったようだし。
Re: (スコア:0)
記事通り下記に普通にありますけどね。
1803でも。
%LOCALAPPDATA%\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP
Re: (スコア:0)
ないよ
windows.immersivecontrolpanel_cw5n1h2txyewy\LocalStateまではあるけど、中身空っぽだよ
それほんとに1803?
Re: (スコア:0)
winverで確認済み。
Windows 8.1 から 10公開初日にアップデート
以降、アップデートし続けてる。
新規インストールだと入らないのか??
Re: (スコア:0)
Win10 1709環境があったので確認してみたけど、windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState までしかなかった。
Re: (スコア:0)
1703から更新した1709には無いけど
Re: (スコア:0)
たしかにWin8→Win8.1→Win10と順次アップデートしてきたWin10 1803だと存在してた
Re: (スコア:0)
1803も無いですね
上記のフォルダに
SystemSettingsViewModel.Desktop.dllという
如何にもMVVMで組みました感のあるファイルがあったので
UWPで組み込めなかった機能を
コマンドラインやPowerShellから呼び出そうとしていた痕跡なのかも
仕様としており、修正される予定はない (スコア:0)
次のバージョンで「仕様変更」されるフラグ来た
Re: (スコア:0)
うーん、その可能性も否定できないね。
フィードバックhubで送ってみたよ。