دور زدن محافظت های امنیتی ویندوز ۱۰ با آسیب‌پذیری جدید

با توجه به پژوهش های امنیتی جدید، ویندوز ۱۰ در معرض هکرهایی است که از یک فرمت فایل بخصوص برای دور زدن محافظت های کلیدی در سیستم عامل استفاده می کنند.
طبق پژوهش گروه امنیتی Specter Ops، فایل های نوع.SettingContent-ms  می توانند برای اجرای کد دلخواه و خطرناک استفاده شوند.
کد دلخواه در ماشین هدف می تواند با وادار کردن کاربر به باز کردن یک سند Word که در آن یک فایل SettingContent-ms جاسازی شده، اجرا شود.
این فایل جاسازی شده شامل یک لینک به کد دلخواه است و بر اساس آزمایش های Specter Ops، محافظت‌های OLE) Object Linking and Embedding) و ASR) Attack Surface Reduction) که توسط Windows Defender ویندوز ۱۰ ارائه شده اند، نمی توانند مانع اجرای این کد شوند.
پژوهشگران می گویند که محافظت‌های OLE آفیس نمی تواند مانع اجرای این کد شود، به این دلیل که فرمت SettingContent-ms در لیست فرمت های خطرناک آفیس قرار ندارد. این ایراد در ماه فوریه به مایکروسافت گزارش شده است که مایکروسافت بدلیل عدم حساسیت بالای آن، وصله‌ای ارائه نکرده است.  با این حال Specter Ops توصیه های امنیتی را ارائه کرده است تا کاربران در قبال این نوع حملات امن بمانند.
به گفته Specter Ops، فایل هایی که فرمت SettingContent-ms دارند را نباید خارج از مسیر C:\Windows\ImmersiveControlPanel اجرا کرد. علاوه بر این، از آنجا که این فرمت فایل فقط برای اجرای دستورات shell است، هرچیزی که از طریق آن اجرا شود، نیاز به ورود به command line دارد. 
بنابراین بهتر است که همیشه فرایندهای پردازشی ذیل برنامه های آفیس را کنترل کرد. Sysmon یکی از ابزارهایی است که بدین منظور ایجاد شده است.
Mozilla نیز اخیرا وصله ای را برای Firefox ارائه کرده است که به این آسیب‌پذیری مربوط است. این وصله از اجرا کد دلخواه توسط یک WebExtension مرورگر بدون دخالت کاربر جلوگیری می کند. این ایراد تنها ویندوز ۱۰ را تحت تاثیر قرار می دهد.

منبع: