Угрозные акторы активно эксплуатируют уязвимость в обработке Windows LNK файлов, особенно тех, которые имеют нестандартные целевые пути и внутренние структуры. Эта эксплуатация позволяет вредоносным нагрузкам обходить встроенные меры безопасности, эффективно обманывая пользователей и заставляя их запускать вредоносные файлы.
Встроенные защиты Windows
Злоумышленники постоянно разрабатывают инновационные стратегии для обхода защитных мер Microsoft, включая SmartScreen и Smart App Control (SAC). SmartScreen, давняя функция безопасности, предназначена для защиты пользователей Windows от потенциально вредоносных веб-страниц и файлов, загруженных из интернета или с ограниченных сайтов. Она работает путем сверки файлов с динамическим списком сайтов, сообщенных как фишинговые и вредоносные программы.
Файлы, помеченные метаданными Mark of the Web (MotW), подвергаются дополнительной проверке. SmartScreen проверяет их по списку разрешенных исполняемых файлов. Если файл не включен в этот список, SmartScreen вмешивается, предотвращая выполнение и выдавая предупреждение. Пользователи могут выбрать игнорирование этого предупреждения, если администраторы предприятия не внедрили политики для ограничения таких действий.
Аналогично, Smart App Control усиливает безопасность, проверяя приложения по базе данных известных безопасных приложений. Как объясняют исследователи, “SAC работает путем запроса облачного сервиса Microsoft при выполнении приложений. Если они известны как безопасные, им разрешается выполняться; однако, если они неизвестны, они будут выполняться только при наличии действительной подписи кода.” Когда SAC включен, он эффективно заменяет и отключает Defender SmartScreen.
LNK stomping = Простой обход MotW
В попытке обойти эти защитные меры злоумышленники прибегают к подписанию вредоносного ПО легитимными сертификатами подписи кода, использованию авторитетных приложений или манипуляции бинарными файлами, чтобы они выглядели достаточно безобидными для включения в список известных безопасных приложений. Последняя техника, выявленная исследователями и названная “LNK stomping,” позволяет злоумышленникам обходить контроль Mark-of-the-Web (MOTW) путем создания LNK (ярлыков Windows) файлов с нестандартными целевыми путями или внутренними структурами.
Эта манипуляция заставляет Windows канонизировать или “исправлять” путь или структуру файла, эффективно стирая метаданные MotW. В отсутствие этих метаданных и SmartScreen, и SAC ошибочно классифицируют файл как безопасный, позволяя ему выполняться без предупреждения.
Исследователи иллюстрировали эту уязвимость простыми примерами: добавление точки или пробела к целевому пути исполняемого файла (например, powershell.exe.) или создание LNK файла с относительным путем, таким как .target.exe. Другой вариант включает создание многоуровневого пути в одной записи массива целевого пути LNK.
Детали этой уязвимости были раскрыты Центру реагирования на инциденты безопасности Microsoft, который указал, что исправление может быть выпущено в будущем обновлении Windows. В ожидании этого исправления исследователи советуют командам безопасности тщательно проверять загрузки в рамках своих систем обнаружения, подчеркивая, что полагаться исключительно на встроенные функции безопасности ОС недостаточно для надежной защиты в этой области.
