Значительная уязвимость безопасности была обнаружена в Windows Smart App Control и SmartScreen, корни которой уходят как минимум в 2018 год. Этот изъян представляет серьезную угрозу, так как позволяет злоумышленникам запускать вредоносные программы на устройствах без срабатывания обычных предупреждений, связанных с файлами Mark of the Web (MotW), согласно экспертам из Elastic Security Labs.
Механизм эксплуатации
Эксплуатация уязвимости вращается вокруг создания LNK-файлов с измененными целевыми путями или внутренними структурами. Когда эти файлы открываются, Windows Explorer автоматически переформатирует их, процесс, который случайно удаляет тег MotW. Это переформатирование обманчиво просто; достаточно всего лишь пробела или точки в целевом пути, чтобы Windows Explorer обновил файл, таким образом устраняя предупреждение безопасности, обычно генерируемое Smart App Control и SmartScreen.
Интересно, что уязвимость активно использовалась в течение нескольких лет, причем самый ранний зарегистрированный случай на VirusTotal датируется как минимум шестью годами назад. Это указывает на долгосрочную уязвимость, которая оставалась в значительной степени незамеченной до настоящего времени.
Дополнительные методы обхода
Elastic Security Labs выявила дополнительные методы, которые злоумышленники могут использовать для обхода средств защиты Smart App Control и SmartScreen. Один из таких методов включает использование сертификатов подписи кода или сертификатов расширенной проверки (EV), которые могут быть использованы для подписания вредоносных полезных нагрузок, избегая обнаружения. Более того, злоумышленники могут эксплуатировать приложения, которые уже обладают хорошей репутацией, позволяя им пройти мимо проверок безопасности незамеченными.
Еще одна тактика включает развертывание вредоносных приложений, которые активируют проверки безопасности только при определенных условиях, тем самым снижая вероятность обнаружения на начальном этапе доступа.
Рекомендации для команд безопасности
В свете этих выводов Elastic Security Labs подчеркивает необходимость тщательной проверки загрузок в рамках их детекционных систем. Они предостерегают от полагания исключительно на встроенные функции безопасности операционной системы для комплексной защиты. Чтобы помочь защитникам в выявлении этой активности до выпуска официального патча, Elastic Security Labs предоставляет логику обнаружения и контрмеры.