เมื่อประมาณเดือนก่อนทาง Matt Nelson จาก SpecterOps ซึ่งเป็น security researcher ได้พบวิธีการใช้งานไฟล์สกุล .SettingContent.ms ซึ่งเป็นไฟล์ shortcut สำหรับ Control Panel ซึ่งสามาถใช้ได้ใน Windows 10 พบว่าสามารถนำมา execute command ได้โดยใช้ feature ที่ชื่อว่า DeepLink เมื่อ user  ทำการเปิดไฟล์ดังกล่าว ไฟล์ .SettingContent.ms นั้นเป็นไฟล์ xml ก็จะกลายเป็นการรันคำสั่งใดๆ

จากการเปิดเผยของทาง Matt Nelson ที่ส่งไปยัง Microsoft ทาง Microsoft กลับไม่แยแสอะไร ไม่มีการ patch ใดๆทั้งสิ้น สิ่งที่เกิดขึ้นต่อมา จากการเปิดเผยของ MalwareBytes คือทำให้มี Hacker จำนวนมาก เริ่มมีการนำ feature ดังกล่าวไปใช้โดยการ add ไฟล์  .SettingContent.ms เมื่อ user ทำการเปิดไฟล์ดังกล่าว แล้วเปิด icon  .SettingContent.ms ก็จะกลายเป็นการสั่งรันคำสั่งที่ระบุไว้นั่นเอง

โดยปกติแล้ว Office 2016 จะมีการ block นามสกุล file ใดๆที่ถูกฝังไว้ในไฟล์ Object Linking and Embedding. แต่ .SettingContent.ms ดันไม่ได้อยู่ใน list ด้วยก็เลย bypass ได้นั่นเอง

เราสามารถจะเพิ่ม .SettingContent.ms เข้าไปใน blacklist ได้โดยใช้คำสั่ง

Source::