Cuidado con los accesos directos al menú de Configuración en Windows 10; descubren cómo utilizarlos para ejecutar código

Escrito por Rubén Velasco

Una de las novedades que llegaron con Windows 10 fue el renovado panel de Configuración del sistema operativo. Desde este apartado los usuarios pueden acceder mucho más fácilmente que desde el Panel de Control a una gran cantidad de configuraciones del sistema. A pesar de la innegable utilidad de este panel de Configuración, para que Microsoft no ha comprobado demasiado su seguridad, y es que acaban de descubrir que es posible utilizar este panel de Configuración para ejecutar código de forma remota y poner en peligro la seguridad de los usuarios.

El panel de Configuración de Windows 10 hace uso de una nueva función, llamada “SettingContent-ms“, que fue introducida en 2015 con la llegada de la primera versión de Windows 10. A grandes rasgos, esta función no es más que un fichero XML que funciona como un acceso directo de manera que, cuando un usuario lo ejecuta, abre la pantalla de Configuración correspondiente con sus opciones.

La función “SettingContent-ms” cuenta con una etiqueta, DeepLink, que se encarga de especificar la ubicación exacta del disco donde se encuentra la entrada de la configuración en concreto. Si hacemos doble clic sobre este acceso directo, el sistema operativo lee esta etiqueta y abre el fichero al que está apuntando.

Windows 10 no controla qué tipo de archivo se abre desde las etiquetas DeepLink

Cuando el usuario hace una llamada desde un acceso directo al menú de Configuración del sistema operativo, este se abre con normalidad. Sin embargo, al ser un fichero XML es muy fácil abrirlo, ver sus propiedades y modificarlas, modificando, por ejemplo, la etiqueta DeepLink correspondiente.

Así, en vez de hacer una llamada al menú de Configuración, es muy sencillo modificar estos accesos directos para abrir PowerShell o CMD con una serie de parámetros que permiten ejecutar código en el sistema. Además, también existe la posibilidad de utilizar esta técnica en ataques más complejos, apuntando directamente a un malware previamente descargado para que se ejecute sin que el usuario sea consciente de ello.

Técnicas con las que pueden infectar nuestro ordenador utilizando los DeepLink

Los expertos de seguridad que han demostrado este fallo de seguridad han podido demostrar varias formas por las que este ataque sería posible. Una de las clásicas, como era de esperar, es utilizando objetos OLE (Object Linking and Embedding) de Office para hacer estas llamadas a la Configuración del sistema dado que SettingContent-ms no está en la lista negra.

Ejecutar código OLE Acceso Directo Configuración Windows 10

Otra técnica bastante preocupante que hace posible este ataque es que Windows 10 permite hacer llamadas al menú de Configuración desde Microsoft Edge sin comprobarlas previamente y sin mostrar al usuario, por ejemplo, una notificación o comprobar realmente el DeepLink que se ejecuta.

Por último, esta técnica es capaz de evadir las medidas de seguridad de Windows 10 y las funciones de mitigación de amenazas de Windows Defender, y cualquier antivirus, incluso la función Attack Surface Reduction (ASR) ya que, en un principio, este tipo de llamadas era inofensivo, hasta ahora que se ha descubierto su verdadera peligrosidad.

Ahora habrá que esperar a ver si Microsoft decide corregir este fallo de seguridad ahora que se ha dado a conocer y que, no tardando, empezará a ser explotado por piratas informáticos.

¿Qué opinas de esta vulnerabilidad en Windows 10?

Fuente > bleepingcomputer