Выявлена значительная уязвимость в функциях безопасности Windows Smart App Control и SmartScreen, позволяющая злоумышленникам запускать программы без срабатывания ожидаемых предупреждений безопасности. Сообщается, что эта уязвимость эксплуатируется с 2018 года, вызывая обеспокоенность по поводу эффективности этих мер безопасности.
Обнаружение уязвимости
Smart App Control служит функцией безопасности на основе репутации, используя сервисы интеллектуального анализа приложений Microsoft для прогнозирования безопасности и функции целостности кода Windows для идентификации и блокировки недоверенных или потенциально вредоносных приложений. Эта функция является преемником SmartScreen, который был впервые представлен в Windows 8 для защиты от вредоносного контента. Обе системы активируются, когда пользователи пытаются открыть файлы, помеченные меткой Mark of the Web (MotW).
Недавние исследования Elastic Security Labs выявили конкретную ошибку, связанную с обработкой файлов LNK, технику, известную как "LNK stomping". Этот метод позволяет злоумышленникам обходить средства безопасности Smart App Control, предназначенные для предотвращения выполнения недоверенных приложений. LNK stomping включает создание файлов LNK с нестандартными путями к целевым файлам или внутренними структурами. Когда пользователь взаимодействует с таким файлом, Проводник Windows изменяет его, чтобы он соответствовал правильному каноническому формату, непреднамеренно удаляя метку MotW, которая запускает проверки безопасности.
Для эксплуатации этой уязвимости злоумышленники могут манипулировать путем к целевому исполняемому файлу, добавляя точку или пробел (например, "powershell.exe.") или создавая файл LNK с относительным путем, например ".target.exe." При нажатии на ссылку Проводник Windows идентифицирует соответствующий .exe файл, обновляет путь, удаляет метку MotW и запускает исполняемый файл.
Другие уязвимости
Elastic Security Labs наблюдали множество случаев использования этого эксплойта в дикой природе, с образцами, датируемыми более чем шестью годами назад, что указывает на давнюю проблему. Лаборатория сообщила об этих находках в Центр реагирования на угрозы безопасности Microsoft, который признал проблему и указал, что решение может быть включено в будущие обновления Windows.
В дополнение к LNK stomping, Elastic Security Labs выделили несколько других уязвимостей, которые могут быть использованы для обхода Smart App Control и SmartScreen:
- Подписанное вредоносное ПО: Использование сертификатов подписи кода или сертификатов расширенной проверки (EV) для подписания вредоносных полезных нагрузок.
- Угон репутации: Перепрофилирование приложений с установленной хорошей репутацией для обхода обнаружения.
- Посев репутации: Развертывание бинарных файлов, контролируемых злоумышленниками, на системах, которые могут содержать известные уязвимости или вредоносный код, активирующийся при определенных условиях.
- Подделка репутации: Внедрение вредоносного кода в бинарные файлы при сохранении их связанной репутации.
Elastic Security Labs выпустили предупреждение о фундаментальных слабостях в дизайне Smart App Control и SmartScreen, подчеркивая, что эти недостатки могут облегчить начальный доступ без предупреждений безопасности и с минимальным взаимодействием пользователя. Они советуют командам безопасности тщательно проверять загрузки в рамках своих систем обнаружения и не полагаться исключительно на встроенные функции безопасности операционной системы для защиты.
В целях помощи защитникам в выявлении этих действий до выпуска патча Elastic Security Labs поделились логикой обнаружения и мерами противодействия. Кроме того, исследователь Джо Десимоне предоставил открытый инструмент для оценки уровня доверия файла в рамках Smart App Control.