Исследователи в области кибербезопасности выявили уязвимости в Windows Smart App Control (SAC) и SmartScreen от Microsoft, которые могут позволить злоумышленникам проникнуть в целевые среды без немедленного срабатывания предупреждений. Эти выводы вызывают серьезные опасения относительно эффективности данных мер безопасности в защите пользователей.
Понимание Smart App Control и SmartScreen
Smart App Control, представленный вместе с Windows 11, является облачным инструментом безопасности, предназначенным для предотвращения выполнения нежелательных, подозрительных и вредоносных приложений на системах пользователей. Этот инструмент оценивает, подписано ли приложение или имеет ли оно действительную подпись, прежде чем разрешить его запуск, особенно когда невозможно предсказать поведение приложения. Параллельно SmartScreen, дебютировавший с Windows 10, использует репутационный подход для оценки безопасности приложений и URL-адресов, стремясь защитить пользователей от потенциально вредоносного контента.
Согласно документации Microsoft, функция Defender SmartScreen анализирует URL-адреса, чтобы определить, связаны ли они с вредоносной деятельностью. Она также проводит проверки репутации приложений, изучая цифровые подписи файлов и загруженных программ. Когда файл или приложение имеет хорошо установленную репутацию, пользователи обычно не сталкиваются с предупреждениями. Напротив, если элемент не имеет репутации, он помечается как более высокий риск, что вызывает предупреждение для пользователя. Примечательно, что при активации SAC функция Defender SmartScreen отключается и заменяется этим новым инструментом.
Elastic Security Labs указала на то, что как Smart App Control, так и SmartScreen имеют фундаментальные недостатки в дизайне, позволяющие получить начальный доступ с минимальным взаимодействием пользователя и без предупреждений безопасности. Это вызывает критические вопросы о надежности этих систем в защите от сложных киберугроз.
Техники обхода
Исследователи выделили несколько техник, которые злоумышленники могут использовать для обхода этих мер безопасности:
- Угон репутации: Это включает в себя поиск и повторное использование известных интерпретаторов AutoHotkey или безобидных программ, таких как JamPlus, для обхода защиты системы.
- Посев репутации: Атакующие могут использовать казалось бы безобидный бинарный файл под своим контролем для инициирования вредоносного поведения при эксплуатации уязвимости приложения или по истечении заранее определенного времени.
- Подделка репутации: Эта техника включает в себя внедрение шеллкода в доверенные бинарные файлы (например, приложение калькулятора) без компрометации общей репутации бинарного файла.
- LNK Stomping: Удаляя метку "mark-of-the-web" (MotW), атакующие могут использовать уязвимость в том, как Windows обрабатывает файлы ярлыков (LNK). Этот метод включает создание файлов LNK с необычными внутренними структурами или путями назначения, которые при нажатии модифицируются explorer.exe для удаления метки MotW перед проверками безопасности.
Elastic Security Labs отметила, что доказательства атак с использованием LNK stomping наблюдались уже в феврале 2018 года, что указывает на то, что злоумышленники знали об этой уязвимости уже несколько лет. Организация подчеркнула, что хотя системы защиты на основе репутации служат надежным слоем против обычного вредоносного ПО, они не являются непогрешимыми. Командам безопасности рекомендуется проводить тщательные проверки загрузок и не полагаться исключительно на встроенные функции безопасности операционной системы для комплексной защиты.