Imagen tomada de Bleeping Computer
El tipo de archivo de Windows '.SettingContent-ms', introducido inicialmente en Windows 10 en 2015, es vulnerable a la ejecución de comandos mediante el atributo DeepLink en su esquema, que en sí mismo es un documento XML simple.
Matt Nelson de SpecterOps descubrió e informó la vulnerabilidad que los atacantes pueden utilizar para facilitar la carga útil para obtener acceso, también simulada en este video
Los atacantes pueden usar el archivo SettingContent-ms para extraer descargas de Internet, lo que plantea varias posibilidades de daños graves, ya que puede usarse para descargar archivos que pueden permitir la ejecución remota de códigos.
Incluso con la regla de bloqueo OLE de Office 2016 y la regla de creación de procesos secundarios de ASR habilitada, el atacante puede evadir el bloqueo OLE a través de los archivos de archivo .SettingsContent-ms combinados con una ruta en la lista blanca en la carpeta de Office puede permitir que el atacante eluda estos controles y ejecute arbitrariamente comandos como Matt demostró en el blog SpectreOps utilizando el archivo AppVLP.
Carga útil de evasión OLE / ASR - SpecterOps
De forma predeterminada, los documentos de Office están marcados como MOTW y se abren en la Vista protegida, hay ciertos archivos que aún permiten OLE y no se activan con la Vista protegida. Idealmente, el archivo SettingContent-ms no debería ejecutar ningún archivo fuera de C: Windows ImmersiveControlPanel.
Matt también sugiere neutralizar los formatos de archivo matando a sus controladores configurando 'DelegateExecute' a través del editor de registro en HKCR: SettingContent Shell Open Command para que esté vacío nuevamente; sin embargo, no hay garantías de que hacerlo no romperá Windows, por lo tanto se debe crear un punto de restauración antes de intentar esto.
