Sådan snyder SettingContent-ms ondsindet kode ind i dit system

En Windows-filendelse anvendes nu på en ny måde til at transportere malware ind i dine systemer uden, at det bliver opdaget.

SettingContent-ms er en XML-fil, der potentielt kan anvendes som transportvej til ondsindet kode.

Normalt anvendes fil-typen til at kontrollere kontrolpanelets indstillinger, men det har nu vist sig, at der kan implementeres ondsindet kode i XML-filen via tag’et <DeepLink>.

SettingContent-ms sniger sig uden om Microsofts Attack Surface Reduction ASR og OLE-beskyttelsen i Windows, som normalt anvendes til at filtrere kendte ’dårlige’ filer og sub-processer, og på den måde smutter XML-filen uset gennem sikkerhedsnåleøjet.

Det er altså tale om en ny måde at transportere malware på.

Selv om fil-endelsen er ny i forbindelse med et angreb, der kan snyde processerne i Windows, så er selve fremgangsmetoden for den skadelige kode den samme, der anvendes i mange andre angrebstyper eksempelvis via JavaScript eller Visual Basic.

Der implementeres ondsindet kode, der så kan afvikles på systemet, kalde til eksterne servere eller på anden måde pege i retning af ondsindede processer.

For at aktivere den skadelige kode kræver det, at en bruger klikker på et link eksempelvis i en phishing-mail. Koden kan også inkluderes i et Office-dokument.

Der findes i øjeblikket ingen rettelse, der lukker for problemet.

Anbefaling:

Bloker for SettingContent-ms i email og ved åbning af MS Office-dokumenter. Uddan dine medarbejdere, så de ikke klikker på - eller åbner ukendte dokumenter eller phishing-mails. Opdater altid dit antivirusprogram med de nyeste signaturer. Opdater altid med de nyeste rettelser fra software-producenterne.

Links: