La compañía SpecterOps ha encontrado una grave vulnerabilidad en el sistema operativo Windows 10, un fallo de seguridad que permite la ejecución de código malicioso por la introducción del nuevo formato SettingContent-ms. Que así es complicado que nos ubiquemos en qué es exactamente, pero como usuarios lo conocemos en forma de access directos a la configuración del sistema. Concretamente, la configuración con la nueva interfaz de Windows 10, y no con el Panel de Control que lleva años estando disponible.

SettinContent-ms es un formato de accesos directos que se introdujo en Windows 10, y que permite el acceso a la configuración del sistema con la nueva interfaz, como alternativa al clásico Panel de Control. Se utilizan documentos XML con una etiqueta DeepLink para la identificación de la ubicación de la página de configuración en el disco de almacenamiento. Y el problema de seguridad de Windows 10 que ha destapado este investigador, experto en seguridad informática, está en que esta etiqueta DeepLink se puede reemplazar por cualquier otro .exe, de tal manera que se puede provocar la ejecución de código malicioso por comandos shell con PowerShell.exe, o por cmd.exe.

Así pueden ejecutar código malicioso en tu PC sin que te des cuenta por un grave fallo de seguridad encontrado en Windows 10

El investigador en cuestión no solo ha destacado esto, sino que además se pueden encadenar varias rutas binarias. Es decir, que se pueden modificar estos documentos XML para que ejecuten el acceso directo en cuestión, pero también el código malicioso. Esto, en la pantalla del usuario se traduce en que el acceso se ejecuta de forma regular, mientras que en segundo plano, y sin que se entere el usuario del ordenador, se está ejecutando código malicioso. El investigador, además, vio que Windows Defender no detecta absolutamente nada, y que este tipo de archivos se pueden ocultar en documentos de Office.

Aunque este formato de accesos directos de Windows 10 lleva tiempo estando disponible –desde su lanzamiento- es algo que se ha detectado mucho tiempo después. No se han detectado ataques de este tipo, pero la compañía de Redmond se había dejado un importante agujero de seguridad en su sistema operativo más reciente.