В недавнем откровении от Elastic Security Labs стало известно, что функция Windows Smart App Control, служащая защитной мерой против потенциально вредоносных приложений, была скомпрометирована более шести лет. Этот механизм безопасности, известный как Windows SmartScreen в более ранних версиях, предназначен для обеспечения дополнительного уровня защиты при попытке пользователей установить исполняемые файлы из непроверенных источников.
Уязвимости раскрыты
Исследования показывают, что обход этого элемента безопасности удивительно прост, позволяя вредоносным приложениям выполняться без необходимой проверки. Один особенно эффективный метод, названный "LNK stomping", позволяет злоумышленникам обходить идентификатор Mark of the Web — ключевой элемент системы безопасности Windows. Манипулируя кодовыми подписями на JavaScript и MSI файлах или просто добавляя точку или пробел к пути исполняемого файла, хакеры могут легко воспользоваться этой уязвимостью. Эта обманчивая маневра напоминает игру в наперстки, которую большинство пользователей скорее всего не заметят, но она может быть выполнена с минимальными усилиями с помощью простого скрипта.
Elastic Security Labs выявили несколько дополнительных техник обхода SmartScreen и Smart App Control, включая захват репутации, посев репутации и подделку репутации. Их выводы детализированы с техническими разборами и наглядными примерами, дополненными увлекательными анимированными GIF-изображениями. Для помощи в устранении этих уязвимостей исследователи также разработали инструмент с открытым исходным кодом, предназначенный для оценки потенциально опасных файлов на предмет этих обходных путей.
Согласно отчетам от BleepingComputer, эти уязвимости существуют как минимум с 2018 года. Хотя эта новость может быть удручающей, стоит отметить, что Microsoft обычно быстро реагирует на такие угрозы. Например, недавнее обновление Windows в апреле устранило некоторые слабые места в системе Mark of the Web, что отражает приверженность компании к повышению безопасности пользователей.