Windows 10 設定可能無意間未產生漏洞 - 3C

https://goo.gl/Eefz3j

據這位找到漏洞的人表示，這個不算是安全性漏洞。或許只是微軟無意間所開啟的一個
漏洞

微軟在Windows 10使用了新的設定外觀。並逐漸地取代控制台的功能和地位

然而，新的設定頁面中每一個設定快捷都是透過一個xml文件組成，附檔名皆為
.SettingContent-ms。也意味者使用者可以修改該文件來指向其他的工具，例如命令提示
字元、PowerShell等這類工具程式...

遠端攻擊者可以利用這個特性修改該xml文件中的DeepLink值以更改捷徑的路徑並導向
惡意程式的路徑以觸發惡意程式、執行腳本。然而使用者並不會感受到有甚麼變化

同時，這些.SettingContent-ms檔案並不受到Windows Defender以及惡意探索防護管制
及監控。所以遠端攻擊只修改了這些文件內容Windows Defender也不會有任何動作

他也提供了一個Demo來示範從網路下載了一個.SettingContent-ms的檔案並開啟後並不會
有任何的安全性警告就能直接執行程式
https://youtu.be/E4ywhiS8vF8

他表示已經將此漏洞提報給微軟，不過微軟似乎不認為這是一個漏洞。但他還是希望
微軟能夠正視這個問題

--
標題 [新聞] 狂！大谷翔平敲三分砲 大聯盟首轟震撼美
時間 Wed Apr 4 11:36:35 2018
2018/04/05 [新聞]大谷翔平連2場開轟　今天苦主是去年賽揚投手

--