Hacker nutzen seit 6 Jahren Schwachstellen in Windows Smart App Control aus

Cybersecurity-Forscher bei Elastic Security Labs haben Designfehler in Windows Smart App Control (SAC) und SmartScreen entdeckt, die es Bedrohungsakteuren ermöglichen, ohne Sicherheitswarnungen oder Popups Zugriff zu erhalten.

Für diejenigen, die es nicht wissen: Microsoft (Defender) SmartScreen ist seit seiner Einführung in Windows 8 eine integrierte OS-Funktion.

Es schützt vor Phishing- oder Malware-Websites und -Anwendungen sowie dem Herunterladen potenziell schädlicher Dateien. Es funktioniert bei Dateien, die das „Mark of the Web“ (MotW) haben und von Benutzern angeklickt werden.

Mit der Veröffentlichung von Windows 11 führte Microsoft Smart App Control (SAC) ein, eine Weiterentwicklung von SmartScreen.

SAC kombiniert die App-Intelligenz-Dienste von Microsoft und die Code-Integritätsfunktionen von Windows, um Benutzer vor bösartigen, nicht vertrauenswürdigen (nicht signierten) oder potenziell unerwünschten Apps zu schützen, die auf dem Gerät ausgeführt werden.

Es ist erwähnenswert, dass SAC, wenn es aktiviert ist, Defender SmartScreen ersetzt und deaktiviert.

Microsoft stellt auch nicht dokumentierte APIs zur Verfügung, um das Vertrauensniveau von Dateien für SmartScreen und Smart App Control abzufragen, was es Forschern ermöglicht, ein Dienstprogramm zu entwickeln, das das Vertrauen einer Datei anzeigt.

In einem Untersuchungsbericht beschreibt Elastic Security Labs, dass ein Fehler bei der Verarbeitung von LNK-Dateien (genannt LNK Stomping) Bedrohungsakteuren helfen kann, Sicherheitsmaßnahmen zu umgehen, indem sie die Sicherheitskontrollen von Smart App Control umgehen, die darauf abzielen, nicht vertrauenswürdige Apps zu blockieren.

LNK Stomping beinhaltet das Anhängen von gestalteten und ungültigen Code-Signatur-Signaturen an JavaScript- oder MSI-Dateien mit nicht standardmäßigen Zielpfaden oder internen Strukturen.

Wenn sie angeklickt werden, ändert explorer.exe automatisch diese LNK-Dateien mit dem kanonischen Format, was zur Entfernung des MotW-Labels von heruntergeladenen Dateien führt, bevor Windows-Sicherheitsprüfungen durchgeführt werden.

„Die einfachste Demonstration dieses Problems besteht darin, einen Punkt oder ein Leerzeichen zum Zielausführungsweg hinzuzufügen (z. B. powershell.exe.). Alternativ kann man eine LNK-Datei erstellen, die einen relativen Pfad wie .\target.exe enthält. Nach dem Klicken auf den Link sucht explorer.exe nach dem passenden .exe-Namen, korrigiert automatisch den vollständigen Pfad, aktualisiert die Datei auf der Festplatte (entfernt MotW) und startet schließlich das Ziel“, schrieben die Forscher von Elastic Security Labs in ihrem Untersuchungsbericht.

Elastic Security Labs haben mehrere Beispiele in VirusTotal identifiziert, die den Fehler anzeigen, was darauf hindeutet, dass er seit Jahren in der Wildnis ausgenutzt wird, wobei das älteste Beispiel vor mehr als sechs Jahren eingereicht wurde, nämlich im Februar 2018.

Das Forschungsunternehmen teilte seine Erkenntnisse mit dem Microsoft Security Response Center (MSRC), das daraufhin antwortete, dass das Problem „in einem zukünftigen Windows-Update behoben werden könnte“.

Neben LNK Stomping beschrieb Elastic Security Labs auch andere Schwächen, die Angreifer zur Umgehung der Erkennung nutzen können, einschließlich:

Signierte Malware: Das Signieren von Malware mit Code-Signaturen oder legitimen Extended Validation (EV)-Zertifikaten würde Smart App Control oder SmartScreen nicht alarmieren.

Reputations-Hijacking: Beinhaltet das Finden und Wiederverwenden von Apps mit guter Reputation, um das Sicherheitssystem zu umgehen.

Reputations-Seeding: Beinhaltet die Verwendung von Binärdateien, die harmlos erscheinen und ein gutes Verhalten aufweisen, um eine Anwendung mit bekannten Schwachstellen oder bösartigem Code nur auszulösen, wenn bestimmte Bedingungen erfüllt sind oder eine bestimmte Zeit vergangen ist.

Reputations-Manipulation: Beinhaltet das Modifizieren bestimmter Abschnitte einer Datei, ohne deren Reputation zu ändern, um Angreifern zu ermöglichen, bösartigen Code in vertrauenswürdige Binärdateien einzufügen.

„Reputationsbasierte Schutzsysteme sind eine leistungsstarke Schicht zum Blockieren von Commodity-Malware. Wie jede Schutztechnik haben sie jedoch Schwächen, die mit etwas Sorgfalt umgangen werden können“, schloss das Unternehmen.

„Sicherheitsteams sollten Downloads sorgfältig in ihrem Erkennungsstapel überprüfen und sich nicht ausschließlich auf die nativen Sicherheitsfunktionen des Betriebssystems zum Schutz in diesem Bereich verlassen.“

Elastic Security Labs hat ein Open-Source-Tool zur Überprüfung der Vertrauenswürdigkeit einer Datei in Bezug auf Smart App Control veröffentlicht.