Gli hacker sfruttano le vulnerabilità nel Windows Smart App Control da 6 anni

I ricercatori di cybersecurity di Elastic Security Labs hanno scoperto difetti di progettazione nel Windows Smart App Control (SAC) e SmartScreen che consentono agli attori delle minacce di ottenere accesso iniziale senza avvisi di sicurezza o popup.

Per chi non lo sapesse, Microsoft (Defender) SmartScreen è una funzionalità integrata nel sistema operativo sin dalla sua introduzione in Windows 8.

Protegge da siti web e applicazioni di phishing o malware e dal download di file potenzialmente dannosi. Funziona su file che hanno il “Mark of the Web” (MotW) e vengono cliccati dagli utenti.

Con il rilascio di Windows 11, Microsoft ha introdotto Smart App Control (SAC), un’evoluzione di SmartScreen.

SAC combina i servizi di intelligenza delle app di Microsoft e le funzionalità di integrità del codice di Windows per proteggere gli utenti da app dannose, non affidabili (non firmate) o potenzialmente indesiderate in esecuzione sul dispositivo.

Vale la pena notare che quando SAC è abilitato, sostituisce e disabilita Defender SmartScreen.

Microsoft espone anche API non documentate per interrogare il livello di fiducia dei file per SmartScreen e Smart App Control, il che consente ai ricercatori di sviluppare un’utilità che mostrerà la fiducia di un file.

In un rapporto investigativo, Elastic Security Labs dettaglia che un bug nella gestione dei file LNK (denominato LNK stomping) può aiutare gli attori delle minacce a eludere la sicurezza bypassando i controlli di sicurezza di Smart App Control progettati per bloccare app non affidabili.

LNK stomping comporta l’aggiunta di firme di codice di firma create e non valide a file JavaScript o MSI con percorsi di destinazione o strutture interne non standard.

Quando viene cliccato, explorer.exe modifica automaticamente questi file LNK con il formato canonico, portando alla rimozione dell’etichetta MotW dai file scaricati prima che vengano eseguiti i controlli di sicurezza di Windows.

“La dimostrazione più semplice di questo problema è appendere un punto o uno spazio al percorso eseguibile di destinazione (ad es., powershell.exe.). In alternativa, si può creare un file LNK che contiene un percorso relativo come .\target.exe. Dopo aver cliccato sul link, explorer.exe cercherà e troverà il nome .exe corrispondente, correggerà automaticamente il percorso completo, aggiornerà il file su disco (rimuovendo MotW) e infine avvierà il target,” hanno scritto i ricercatori di Elastic Security Labs nel loro rapporto investigativo.

Elastic Security Labs ha identificato più campioni in VirusTotal che mostrano il bug, indicando che è stato sfruttato in natura per anni, con il campione più vecchio inviato più di sei anni fa, già a febbraio 2018.

La società di ricerca ha condiviso le proprie scoperte con il Microsoft Security Response Center (MSRC), che ha risposto dicendo che il problema “potrebbe essere risolto in un futuro aggiornamento di Windows.”

Oltre al LNK Stomping, Elastic Security Labs ha anche descritto altre debolezze che gli attaccanti possono utilizzare per eludere la rilevazione, tra cui:

Malware Firmato: Firmare malware utilizzando certificati di firma del codice o certificati di Validazione Estesa (EV) legittimi non allertarebbe Smart App Control o SmartScreen.

Hijacking della Reputazione: Comporta trovare e riutilizzare app con una buona reputazione per eludere il sistema di sicurezza.

Seeding della Reputazione: Comporta l’uso di binari che possono sembrare innocui e avere un buon comportamento per attivare un’applicazione con vulnerabilità note o codice dannoso solo se vengono soddisfatte determinate condizioni o è trascorso un certo tempo.

Tampering della Reputazione: Comporta la modifica di alcune sezioni di un file senza cambiare la sua reputazione per consentire agli attaccanti di iniettare codice dannoso in binari fidati.

“I sistemi di protezione basati sulla reputazione sono uno strato potente per bloccare malware di consumo. Tuttavia, come qualsiasi tecnica di protezione, hanno debolezze che possono essere eluse con un po’ di attenzione,” ha concluso la società.

“I team di sicurezza dovrebbero esaminare attentamente i download nel loro stack di rilevazione e non fare affidamento esclusivamente sulle funzionalità di sicurezza native del sistema operativo per la protezione in quest’area.”

Elastic Security Labs ha rilasciato uno strumento open-source per controllare l’affidabilità del Smart App Control di un file.