Microsoft lukker ned for SettingContent-ms-svaghed

Softwaregiganten blokerer nu for SettingContent-ms-filer i Office 365.

Microsoft har opdateret listen over uønskede filer, der udelukkes i Office 365-dokumenter. Nu er SettingContent-ms-fil-formatet blevet tilføjet til listen.

Microsoft blokerer således for brugen af de indlejrede filer i Office-dokumenter via funktionen OLE (Object Linking and Embedding).

Listen indeholder nu 108 ’farlige’ fil-udvidelser. Udover ContentSetting-ms indeholder listen også fil-formater som eksempelvis EXE, JS, MSI, VBS og PowerShell-udvidelser.

Hvis en bruger åbner en Word-fil, der indeholder et OLE-objekt, som forsøger at køre en af disse ondsindede filtyper, vises en fejl.

Outlook.com følger med

Tricket har bestået i at udnytte Windows Settings (.SettingContent-ms), som er en XML-fil. Normalt anvendes fil-typen til at kontrollere kontrolpanelets indstillinger, men det har vist sig, at der kan implementeres ondsindet kode i XML-filen via tag’et 'DeepLink'.

SettingContent-ms sneg sig uden om Microsofts Attack Surface Reduction ASR og OLE-beskyttelsen i Windows, som anvendes til at filtrere kendte ’dårlige’ filer og sub-processer, og på den måde smuttede XML-filen uset gennem sikkerhedsnåleøjet.

Men det lukker Microsoft altså nu.

Historisk set har Outlook.com blokeret vedhæftede filer ved hjælp af samme liste, som Office har anvendt. Dette betyder, at malware-skribenter heller ikke direkte kan sende SettingContent-ms-filer til Outlook.com-brugere.

Anbefaling:

Få rettet til efter Microsofts beskrivelser. Bloker for SettingContent-ms i e-mail og ved åbning af MS Office-dokumenter. Uddan dine medarbejdere, så de ikke klikker på - eller åbner ukendte dokumenter eller phishing-mails. Opdater altid dit antivirusprogram med de nyeste signaturer. Opdater altid med de nyeste rettelser fra software-producenterne.