В мире кибербезопасности Smart App Control (SAC) от Microsoft позиционируется как ключевая функция Windows 11, предназначенная для защиты пользователей от вредоносных приложений. Однако недавние исследования Elastic Security Labs поставили под сомнение его эффективность, выявив значительные уязвимости, которые могут подорвать доверие пользователей.
Недостатки в дизайне функций безопасности
Elastic Security Labs провела тщательное расследование дизайна SAC и его предшественника, SmartScreen, выявив несколько внутренних слабых мест. Согласно их отчету, эти недостатки позволяют злоумышленникам получить первоначальный доступ к системам, не вызывая никаких предупреждений или сигналов безопасности. Исследователи подробно описывают различные методы атак, которые могут эффективно обходить защиту, предлагаемую Windows Smart App Control, включая заметную ошибку, связанную с обработкой файлов .lnk.
Изначально представленная как Defender SmartScreen в Windows 8, эта функция безопасности эволюционировала в более комплексный Smart App Control в Windows 11. Система предназначена для обнаружения и предотвращения выполнения вредоносных приложений путем сопоставления их с базой данных Microsoft о известных безопасных и опасных исполняемых файлах. Однако Elastic предупреждает, что потенциал для эксплуатации остается тревожно высоким.
- Вредоносные приложения могут быть подписаны легитимными сертификатами, что позволяет им избегать обнаружения.
- Угон репутации может использовать доверенные приложения для запуска вредоносного кода без предупреждения пользователей.
Кроме того, в отчете подчеркивается техника, известная как подделка репутации, которая представляет дополнительную угрозу целостности SAC. Как описывает Elastic, традиционные системы репутации полагаются на криптографически защищенное хеширование для предотвращения подделки. Однако исследователи обнаружили, что определенные изменения в файлах могут происходить без изменения их репутационного статуса в SAC. Это предполагает, что система может использовать нечеткое хеширование или сравнения на основе признаков, которые можно манипулировать для сохранения доброкачественной репутации даже после изменения кода.
«Путем проб и ошибок мы могли идентифицировать сегменты, которые можно безопасно изменять и сохранять ту же репутацию. Мы создали один измененный бинарный файл с уникальным хешем, который никогда не был виден Microsoft или SAC. Этот файл содержал shell-код для выполнения калькулятора и мог быть выполнен с SAC в режиме принудительного выполнения.»
Еще одна уязвимость, выявленная Elastic, называется LNK Stomping. Этот метод включает создание файлов .lnk с нестандартными путями к целям или внутренними структурами. Когда эти файлы открываются, они переформатируются explorer.exe, что случайно удаляет метку Mark of the Web (MotW) до проведения любых проверок безопасности, делая их более легкими для эксплуатации.
Полные результаты исследований Elastic Security Labs доступны в их подробном отчете, который включает видео, демонстрирующие различные векторы атак. Заключение отчета служит критическим напоминанием для команд безопасности:
«Smart App Control и SmartScreen имеют ряд фундаментальных недостатков дизайна, которые могут позволить первоначальный доступ без предупреждений безопасности и минимального взаимодействия с пользователем. Команды безопасности должны тщательно проверять загрузки в своем стеке обнаружения и не полагаться исключительно на встроенные функции безопасности ОС для защиты в этой области.»
В ответ на эти уязвимости Elastic разработала инструмент для оценки надежности файлов, исходный код которого доступен публично для дальнейшего анализа и улучшения.