Недавние исследования в области кибербезопасности выявили значительные уязвимости в дизайне функций безопасности Microsoft, таких как Windows Smart App Control (SAC) и SmartScreen. Эти слабые места могут позволить злоумышленникам проникать в целевые среды без активации каких-либо предупреждений безопасности.
Особенности и уязвимости Smart App Control и SmartScreen
Smart App Control, облачная функция безопасности, представленная в Windows 11, предназначена для предотвращения выполнения вредоносных, ненадежных и потенциально нежелательных приложений. Когда служба не может определить безопасность приложения, она проверяет, подписано ли приложение или имеет ли оно действительную подпись перед разрешением на выполнение.
Аналогично, SmartScreen, дебютировавший с Windows 10, оценивает, представляет ли веб-сайт или загруженное приложение угрозу. Он использует методологию, основанную на репутации, для защиты URL-адресов и приложений. Согласно документации Microsoft, «Microsoft Defender SmartScreen оценивает URL-адреса веб-сайтов, чтобы определить, известны ли они как распространяющие или размещающие небезопасный контент». Эта функция также проводит проверки репутации для приложений, анализируя загруженные программы и цифровые подписи, связанные с файлами. Если элемент имеет хорошо установленную репутацию, пользователям не предъявляются предупреждения; напротив, элементы без такой репутации помечаются как более высокий риск.
Примечательно, что при активации Smart App Control он замещает и отключает Defender SmartScreen, что вызывает опасения по поводу общей структуры безопасности.
Методы обхода защиты
Elastic Security Labs недавно сообщили, что как Smart App Control, так и SmartScreen обладают фундаментальными недостатками в дизайне, которые могут облегчить начальный доступ с минимальным взаимодействием пользователя и без предупреждений безопасности. Один из распространенных методов обхода этих защит включает получение легитимного сертификата Extended Validation (EV) для приложения — тактика, которая уже была использована злоумышленниками, как это было продемонстрировано в недавнем инциденте с HotPage.
Дополнительные методы обхода включают:
- Угон репутации: Этот метод включает идентификацию и повторное использование приложений с хорошей репутацией для обхода системы безопасности, таких как использование JamPlus или признанного интерпретатора AutoHotkey.
- Посев репутации: Здесь бинарный файл под контролем злоумышленника маскируется под безобидный для запуска вредоносного поведения либо из-за уязвимости приложения, либо после определенного периода времени.
- Подделка репутации: Этот метод предполагает изменение определенных разделов легитимного бинарного файла, например калькулятора, для внедрения шеллкода при сохранении общей репутации приложения.
- Стирание LNK: Это использует уязвимость в том, как Windows обрабатывает файлы ярлыков (LNK), позволяя злоумышленникам удалять метку mark-of-the-web (MotW), тем самым обходя защиты SAC, поскольку SAC блокирует файлы с такой меткой.
Исследователи отметили: «Это включает создание файлов LNK с нестандартными целевыми путями или внутренними структурами. При активации эти файлы LNK переформатируются explorer.exe, что приводит к удалению метки MotW до проведения любых проверок безопасности.»
Хотя системы защиты на основе репутации предлагают надежный уровень защиты от массового вредоносного ПО, они не являются непогрешимыми. Как подчеркнули исследователи: «Как и любая техника защиты, они имеют слабые места, которые можно обойти с некоторой осторожностью.» Следовательно, командам безопасности рекомендуется тщательно проверять загрузки в рамках своих систем обнаружения вместо того, чтобы полагаться исключительно на встроенные функции операционной системы.