Hace poco tiempo atrás se descubrió un nuevo método de infección que estaban utilizando los hackers para infectar equipos objetivos. Los atacantes se estaban aprovechando de los accesos directos de los archivos de configuración de Windows (.settingContent-MS) para realizar la modificación de los ejecutables embebidos y hacer mal uso de estos archivos de configuración.
Este tipo de acceso directo fue añadido en Windows 10 y permite a los administradores de los sistemas operativos, simplificar el acceso a algunas herramientas de administración del equipo.
Dado al estudio que realizo Matt Nelson de Specter Ops, en el cual demostraba como podrían cambiarse algunos parámetros dentro de estos archivos de configuración, para que tomara acciones maliciosas, que Microsoft decidió denegar de manera predeterminada, cualquier tipo de archivo de configuración que este incrustado en algún documento de Office 365.
Este bloqueo fue realizado mediante la actualización de la lista de archivos peligrosos para Windows, ademas cabe destacar que también están siendo bloqueado a través de la función OLE.
Esta lista ahora incluye 108 extensiones de archivo "peligrosas". Además de ContentSetting-ms, la lista también contiene formatos de archivos clásicos como CHM, EXE, HTA, JS, MSI, VBS, WSF y todas las diferentes extensiones de PowerShell. Si los usuarios abren un archivo de Word que contiene un objeto OLE que intenta ejecutar uno de estos tipos de archivos maliciosos, aparecerá un error como el siguiente en la pantalla del usuario.
Cabe destacar que Outlook utiliza la misma lista para proteger a los usuarios de correos posiblemente peligrosos. Pero los atacantes podrían comprimir el archivo y añadir una password para que el sistema no sea capaz de identificar este tipo de archivo.
