Los hackers explotan fallos en Windows Smart App Control desde hace 6 años

Los investigadores de ciberseguridad de Elastic Security Labs han descubierto fallos de diseño en Windows Smart App Control (SAC) y SmartScreen que permiten a los actores de amenazas obtener acceso inicial sin advertencias de seguridad ni ventanas emergentes.

Para aquellos que no lo sepan, Microsoft (Defender) SmartScreen ha sido una función integrada del sistema operativo desde su introducción en Windows 8.

Protege contra sitios web y aplicaciones de phishing o malware y la descarga de archivos potencialmente maliciosos. Funciona en archivos que tienen la “Marca de la Web” (MotW) y que son clicados por los usuarios.

Con el lanzamiento de Windows 11, Microsoft introdujo Smart App Control (SAC), una evolución de SmartScreen.

SAC combina los servicios de inteligencia de aplicaciones de Microsoft y las características de integridad de código de Windows para proteger a los usuarios de aplicaciones maliciosas, no confiables (sin firmar) o potencialmente no deseadas que se ejecutan en el dispositivo.

Cabe destacar que cuando SAC está habilitado, reemplaza y desactiva Defender SmartScreen.

Microsoft también expone APIs no documentadas para consultar el nivel de confianza de los archivos para SmartScreen y Smart App Control, lo que permite a los investigadores desarrollar una utilidad que mostrará la confianza de un archivo.

En un informe de investigación, Elastic Security Labs detalla que un error en el manejo de archivos LNK (denominado LNK stomping) puede ayudar a los actores de amenazas a eludir la seguridad al sortear los controles de seguridad de Smart App Control diseñados para bloquear aplicaciones no confiables.

LNK stomping implica agregar firmas de código de firma elaboradas e inválidas a archivos JavaScript o MSI con rutas de destino o estructuras internas no estándar.

Cuando se hace clic, explorer.exe modifica automáticamente estos archivos LNK con el formato canónico, lo que lleva a la eliminación de la etiqueta MotW de los archivos descargados antes de que se realicen las verificaciones de seguridad de Windows.

“La demostración más fácil de este problema es agregar un punto o espacio a la ruta del ejecutable de destino (por ejemplo, powershell.exe.). Alternativamente, se puede crear un archivo LNK que contenga una ruta relativa como .\target.exe. Después de hacer clic en el enlace, explorer.exe buscará y encontrará el nombre .exe coincidente, corregirá automáticamente la ruta completa, actualizará el archivo en el disco (eliminando MotW) y finalmente lanzará el objetivo”, escribieron los investigadores de Elastic Security Labs en su informe de investigación.

Elastic Security Labs ha identificado múltiples muestras en VirusTotal que muestran el error, lo que indica que ha sido explotado en el mundo real durante años, siendo la muestra más antigua enviada hace más de seis años, que data de febrero de 2018.

La empresa de investigación compartió sus hallazgos con el Centro de Respuesta de Seguridad de Microsoft (MSRC), que respondió diciendo que el problema “podría ser solucionado en una futura actualización de Windows.”

Además de LNK Stomping, Elastic Security Labs también describió otras debilidades que los atacantes pueden usar para evadir la detección, incluyendo:

Malware Firmado: Firmar malware utilizando certificados de firma de código o certificados de Validación Extendida (EV) legítimos no alertaría a Smart App Control o SmartScreen.

Secuestro de Reputación: Implica encontrar y reutilizar aplicaciones con buena reputación para eludir el sistema de seguridad.

Siembra de Reputación: Implica usar binarios que pueden parecer inocuos y tener un buen comportamiento para activar una aplicación con vulnerabilidades conocidas o código malicioso solo si se cumplen ciertas condiciones o ha transcurrido un cierto tiempo.

Manipulación de Reputación: Implica modificar ciertas secciones de un archivo sin cambiar su reputación para permitir que los atacantes inyecten código malicioso en binarios de confianza.

“Los sistemas de protección basados en reputación son una capa poderosa para bloquear malware común. Sin embargo, como cualquier técnica de protección, tienen debilidades que pueden ser eludidas con un poco de cuidado”, concluyó la empresa.

“Los equipos de seguridad deben examinar cuidadosamente las descargas en su pila de detección y no confiar únicamente en las características de seguridad nativas del sistema operativo para la protección en esta área.”

Elastic Security Labs ha lanzado una herramienta de código abierto para verificar la confiabilidad del Smart App Control de un archivo.