Des hackers exploitent des failles dans Windows Smart App Control depuis 6 ans

Les chercheurs en cybersécurité d’Elastic Security Labs ont découvert des failles de conception dans Windows Smart App Control (SAC) et SmartScreen qui permettent aux acteurs malveillants d’accéder initialement sans avertissements de sécurité ni fenêtres contextuelles.

Pour ceux qui ne le savent pas, Microsoft (Defender) SmartScreen est une fonctionnalité intégrée au système d’exploitation depuis son introduction dans Windows 8.

Il protège contre les sites Web et applications de phishing ou de logiciels malveillants et le téléchargement de fichiers potentiellement malveillants. Il fonctionne sur des fichiers qui ont la « Marque du Web » (MotW) et qui sont cliqués par les utilisateurs.

Avec la sortie de Windows 11, Microsoft a introduit Smart App Control (SAC), une évolution de SmartScreen.

SAC combine les services d’intelligence des applications de Microsoft et les fonctionnalités d’intégrité du code de Windows pour protéger les utilisateurs contre les applications malveillantes, non fiables (non signées) ou potentiellement indésirables s’exécutant sur l’appareil.

Il convient de noter que lorsque SAC est activé, il remplace et désactive Defender SmartScreen.

Microsoft expose également des API non documentées pour interroger le niveau de confiance des fichiers pour SmartScreen et Smart App Control, ce qui permet aux chercheurs de développer un utilitaire qui affichera la confiance d’un fichier.

Dans un rapport d’enquête, Elastic Security Labs détaille qu’un bug dans le traitement des fichiers LNK (appelé LNK stomping) peut aider les acteurs malveillants à contourner la sécurité en contournant les contrôles de sécurité de Smart App Control conçus pour bloquer les applications non fiables.

Le LNK stomping consiste à ajouter des signatures de code de signature créées et invalides à des fichiers JavaScript ou MSI avec des chemins cibles ou des structures internes non standard.

Lorsqu’ils sont cliqués, explorer.exe modifie automatiquement ces fichiers LNK avec le formatage canonique, entraînant la suppression de l’étiquette MotW des fichiers téléchargés avant que les vérifications de sécurité de Windows ne soient effectuées.

« La démonstration la plus simple de ce problème consiste à ajouter un point ou un espace au chemin exécutable cible (par exemple, powershell.exe.). Alternativement, on peut créer un fichier LNK qui contient un chemin relatif tel que .\target.exe. Après avoir cliqué sur le lien, explorer.exe recherchera et trouvera le nom .exe correspondant, corrigera automatiquement le chemin complet, mettra à jour le fichier sur le disque (en supprimant MotW) et enfin lancera la cible », ont écrit les chercheurs d’Elastic Security Labs dans leur rapport d’enquête.

Elastic Security Labs a identifié plusieurs échantillons dans VirusTotal qui affichent le bug, indiquant qu’il a été exploité dans la nature pendant des années, le plus ancien échantillon soumis il y a plus de six ans, dès février 2018.

La société de recherche a partagé ses conclusions avec le Microsoft Security Response Center (MSRC), qui a répondu en disant que le problème « pourrait être corrigé dans une future mise à jour de Windows ».

En plus du LNK Stomping, Elastic Security Labs a également décrit d’autres faiblesses que les attaquants peuvent utiliser pour échapper à la détection, notamment :

Malware signé : Signer des logiciels malveillants à l’aide de certificats de signature de code ou de certificats de validation étendue (EV) légitimes ne déclencherait pas Smart App Control ou SmartScreen.

Détournement de réputation : Implique de trouver et de réutiliser des applications ayant une bonne réputation pour contourner le système de sécurité.

Semis de réputation : Implique d’utiliser des binaires qui peuvent sembler innocents et avoir un bon comportement pour déclencher une application avec des vulnérabilités connues ou du code malveillant uniquement si certaines conditions sont remplies ou qu’un certain temps s’est écoulé.

Altération de réputation : Implique de modifier certaines sections d’un fichier sans changer sa réputation pour permettre aux attaquants d’injecter du code malveillant dans des binaires de confiance.

« Les systèmes de protection basés sur la réputation sont une couche puissante pour bloquer les logiciels malveillants courants. Cependant, comme toute technique de protection, ils ont des faiblesses qui peuvent être contournées avec un certain soin », a conclu la société.

« Les équipes de sécurité devraient examiner attentivement les téléchargements dans leur pile de détection et ne pas se fier uniquement aux fonctionnalités de sécurité natives du système d’exploitation pour la protection dans ce domaine. »

Elastic Security Labs a publié un outil open-source pour vérifier la fiabilité de la Smart App Control d’un fichier.