パスワードを忘れた? アカウント作成
13639397 story
Windows

Windows 10では拡張子「.SettingContent.ms」のファイルに任意のコードを書ける 26

ストーリー by hylom
バッチファイルのようなものか 部門より

Windows 10で使われる、拡張子が「.SettingContent.ms」のファイルには任意のコードを記述できるという危険性があるという。Microsoftはこれを仕様としており、修正される予定はないようだ(マイナビニュース

この拡張子を持つファイルは「設定コンテンツファイル」などと呼ばれ、Explorerから実行することでWindows 10の各種設定画面を呼び出すことができる(利用法の解説記事)。このファイルにはXML形式で各種情報が記述されているのだが、この中の「DeepLink」要素には任意のコードが記述でき、ファイルを実行した際にこのコードが実行される仕組みになっているという。

これを悪用し、ターゲットのPCに何らかの方法で悪意のある処理を行う.SettingContent.msファイルを送り込んで実行させることで、マルウェアに感染させるといったことが可能になるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そんなもんか (スコア:5, すばらしい洞察)

    by nnnhhh (47970) on 2018年07月05日 17時20分 (#3437897) 日記

    > ターゲットのPCに何らかの方法で悪意のある処理を行う.SettingContent.msファイルを送り込んで実行させることで
    こんなことできるならexe送り込めばいいんじゃないのか

    • by Anonymous Coward

      exeはさすがにメールにつけてきたら通らないことが多いし、Gmailも受け取ってくれないから、settingcontent-msファイルをZIPとかに詰めてフォルダにアイコンを偽装してクリックさせるとかするんじゃあるまいか?
      最近はメールじゃ変なものが入ってるRARもZIPも通らなくなったからなのか、ISOファイルにしてマウントさせる手口のも見るぞ。

      • by Suzuno (48093) on 2018年07月05日 19時46分 (#3437984) 日記

        settingcontent-msでアイコン偽装って難しい気がする。なにしろexeじゃない、というか中身は生のXMLだし。

        親コメント
      • by Anonymous Coward

        パスワード付き7z(ファイル名暗号化オプションON)で良いんじゃないかな…
        二重zipにして外側にパスワード設定でもいいけど。

        アイコン偽装は…desktop.iniとかで出来るかもしれんけどそのファイルの属性が展開されないと駄目だしアーカイバ依存だから苦しい気がする。
        ISOマウントをちゃんとできつつも素直に引っかかってくれる事に期待するよりは楽なんかな?
        パス付き7z/二重zipのが楽だと思うけど。

    • by Anonymous Coward

      だからこその「これを仕様としており、修正される予定はない」なんだろうね。

  • by kdmmm (37820) on 2018年07月05日 16時28分 (#3437863)

    バックアップを取ってたら、WindowsDefenderが↓のファイルが脅威だって言い出したんだけど…

    file: \Device\HarddiskVolumeShadowCopy423\Users\##########\AppData\Local\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP\ControlPanel.settingcontent-ms

    • by Anonymous Coward on 2018年07月05日 16時32分 (#3437864)

      書ける仕様は、つまるところバッチファイル(というかシェルスクリプトというべきか?)的なので修正はしない

      ただ、中身に危険なものがあるなら、Defenderとかが検出する、という動作は妥当

      ということだろうか?

      まあ、「curl xxx | shでインストールしてね」といいつつ攻撃スクリプトだ、ってものがあったら*nixでも攻撃発動するだろうし(直接じゃなくても、*.xzファイルダウンロード、展開、ビルドスクリプトとみせて攻撃、とか)

      その意味では「注入という行為に使われる、スクリプトファイルというものに任意のコードが書けること」は脆弱性とは言えない、かな...

      親コメント
  • by Anonymous Coward on 2018年07月05日 16時34分 (#3437866)

    × .SettingContent.ms
    ○ .SettingContent-ms

    https://blog.malwarebytes.com/wp-content/uploads/2018/07/bait_doc.png [malwarebytes.com]

    • typo だったのか。てっきり、最近の Windows ではいつの間にか、.tar.gz みたいな二重拡張子が認識できるようになってたのかと期待したのに・・・
      # ただの誤解だったので ID

      --
      それでも私は3DSを続けるよ。それでも私は3DSを続けるよ。それでも私は3DSを続けるよ。それでも私は3DSを続けるよ。それでも私は
      親コメント
      • by Anonymous Coward

        --
        ほんとに3DS続けてんのかよ。ほんとに3DS続けてんのかよ。ほんとに3DS続けてんのかよ。ほんとに3DS続けてんのかよ。ほんとに

    • by Anonymous Coward

      幇助した扱いされないように
      わざと書き間違えているんですよ。たぶん

  • by Anonymous Coward on 2018年07月05日 18時52分 (#3437941)

    Windows10です。
    空のテキストをリネームして作ってみたんですが、試しにダブルクリックしてみるとエラーが出るので、これは実行が関連付けされているということでしょうか?
    その場合、アイコンがデフォルトの白い奴だったので.txt等に偽装されると割りと厄介だと思います。

  • by Anonymous Coward on 2018年07月05日 17時18分 (#3437896)

    Windows8.1では各ユーザのAppDataの下とかに大量のsettingcontent-ms拡張子のファイルがあるんだけど、Windows10で探しても出てこないな…既にイラナイ子なんだけど、互換性で残ってる機能なんじゃ??

    • by Anonymous Coward

      バージョン1703だと C:\Windows\ImmersiveControlPanel\Settings に大量にあるけど1709だと一つも無いな

      • by Anonymous Coward

        バージョン1803だと、AllSystemSettings_{253E530E-387D-4BC2-959D-E6F86122E5F2}.xmlというファイルが1個だけあった。中身は従来たくさんあったファイルを1つにまとめたものらしい。細かいファイルがたくさんあるのはいろいろ非効率だから形式変更したんだろう。もともと文書化された仕様じゃないし、Windows 10以降MSもこのレベルの内部仕様に依存したアプリはどんどん切り捨てていく方針に変わったようだし。

        • by Anonymous Coward

          記事通り下記に普通にありますけどね。
          1803でも。

          %LOCALAPPDATA%\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP

          • by Anonymous Coward

            ないよ
            windows.immersivecontrolpanel_cw5n1h2txyewy\LocalStateまではあるけど、中身空っぽだよ
            それほんとに1803?

            • by Anonymous Coward

              winverで確認済み。
              Windows 8.1 から 10公開初日にアップデート
              以降、アップデートし続けてる。

              新規インストールだと入らないのか??

              • by Anonymous Coward

                Win10 1709環境があったので確認してみたけど、windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState までしかなかった。

              • by Anonymous Coward

                1703から更新した1709には無いけど

              • by Anonymous Coward

                たしかにWin8→Win8.1→Win10と順次アップデートしてきたWin10 1803だと存在してた

      • by Anonymous Coward

        1803も無いですね

        上記のフォルダに
        SystemSettingsViewModel.Desktop.dllという
        如何にもMVVMで組みました感のあるファイルがあったので
        UWPで組み込めなかった機能を
        コマンドラインやPowerShellから呼び出そうとしていた痕跡なのかも

  • by Anonymous Coward on 2018年07月05日 19時39分 (#3437980)

    次のバージョンで「仕様変更」されるフラグ来た

    • by Anonymous Coward

      うーん、その可能性も否定できないね。
      フィードバックhubで送ってみたよ。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...