Злоумышленники используют уязвимость в обработке LNK файлов Windows

Приложения и игры / Close All Windows / Desktop / Windows / Новости Close All Windows для Desktop Windows / Злоумышленники используют уязвимость в обработке LNK файлов Windows
06.08.2024

Угрозные акторы активно эксплуатируют уязвимость в обработке Windows LNK файлов, особенно тех, которые имеют нестандартные целевые пути и внутренние структуры. Эта эксплуатация позволяет вредоносным нагрузкам обходить встроенные меры безопасности, эффективно обманывая пользователей и заставляя их запускать вредоносные файлы.

Встроенные защиты Windows

Злоумышленники постоянно разрабатывают инновационные стратегии для обхода защитных мер Microsoft, включая SmartScreen и Smart App Control (SAC). SmartScreen, давняя функция безопасности, предназначена для защиты пользователей Windows от потенциально вредоносных веб-страниц и файлов, загруженных из интернета или с ограниченных сайтов. Она работает путем сверки файлов с динамическим списком сайтов, сообщенных как фишинговые и вредоносные программы.

Файлы, помеченные метаданными Mark of the Web (MotW), подвергаются дополнительной проверке. SmartScreen проверяет их по списку разрешенных исполняемых файлов. Если файл не включен в этот список, SmartScreen вмешивается, предотвращая выполнение и выдавая предупреждение. Пользователи могут выбрать игнорирование этого предупреждения, если администраторы предприятия не внедрили политики для ограничения таких действий.

Аналогично, Smart App Control усиливает безопасность, проверяя приложения по базе данных известных безопасных приложений. Как объясняют исследователи, “SAC работает путем запроса облачного сервиса Microsoft при выполнении приложений. Если они известны как безопасные, им разрешается выполняться; однако, если они неизвестны, они будут выполняться только при наличии действительной подписи кода.” Когда SAC включен, он эффективно заменяет и отключает Defender SmartScreen.

LNK stomping = Простой обход MotW

В попытке обойти эти защитные меры злоумышленники прибегают к подписанию вредоносного ПО легитимными сертификатами подписи кода, использованию авторитетных приложений или манипуляции бинарными файлами, чтобы они выглядели достаточно безобидными для включения в список известных безопасных приложений. Последняя техника, выявленная исследователями и названная “LNK stomping,” позволяет злоумышленникам обходить контроль Mark-of-the-Web (MOTW) путем создания LNK (ярлыков Windows) файлов с нестандартными целевыми путями или внутренними структурами.

Эта манипуляция заставляет Windows канонизировать или “исправлять” путь или структуру файла, эффективно стирая метаданные MotW. В отсутствие этих метаданных и SmartScreen, и SAC ошибочно классифицируют файл как безопасный, позволяя ему выполняться без предупреждения.

Исследователи иллюстрировали эту уязвимость простыми примерами: добавление точки или пробела к целевому пути исполняемого файла (например, powershell.exe.) или создание LNK файла с относительным путем, таким как .target.exe. Другой вариант включает создание многоуровневого пути в одной записи массива целевого пути LNK.

Детали этой уязвимости были раскрыты Центру реагирования на инциденты безопасности Microsoft, который указал, что исправление может быть выпущено в будущем обновлении Windows. В ожидании этого исправления исследователи советуют командам безопасности тщательно проверять загрузки в рамках своих систем обнаружения, подчеркивая, что полагаться исключительно на встроенные функции безопасности ОС недостаточно для надежной защиты в этой области.

Как отключить безопасный режим без входа в windows 10?

Чтобы отключить безопасный режим без входа в Windows 10, вам нужно использовать установочный носитель Windows или диск восстановления. Вставьте его в компьютер, загрузитесь с него и выберите раздел «Восстановление системы». В командной строке введите bootrec /rebuildbcd и следуйте инструкциям на экране. Это позволит восстановить загрузочные записи и вернуть систему в нормальный режим работы.

Как отключить безопасный режим windows 10 без пароля?

Чтобы отключить безопасный режим Windows 10 без ввода пароля, можно воспользоваться средством восстановления системы. Перезагрузите компьютер, затем на экране входа удерживайте клавишу Shift и выберите «Перезагрузка». Далее перейдите в «Устранение неполадок» -> «Дополнительные параметры» -> «Командная строка». Введите bcdedit /deletevalue {default} safeboot и перезагрузите компьютер. Это отключит безопасный режим.
Обновлено: 06.08.2024
Close All Windows

Close All Windows скачать бесплатно на ПК и телефон

4
556 отзывы
3111 скачали

Обзоры и инструкции для Close All Windows

Загрузка...