ハッカーが6年間にわたりWindows Smart App Controlの欠陥を悪用

Elastic Security Labsのサイバーセキュリティ研究者は、Windows Smart App Control (SAC)およびSmartScreenに設計上の欠陥があることを発見しました。これにより、脅威アクターはセキュリティ警告やポップアップなしで初期アクセスを得ることができます。

知らない方のために、Microsoft (Defender) SmartScreenは、Windows 8で導入されて以来、OSの組み込み機能です。

これは、フィッシングやマルウェアのウェブサイトおよびアプリケーション、潜在的に悪意のあるファイルのダウンロードから保護します。これは、「Webのマーク」(MotW)が付けられたファイルに対して実行され、ユーザーがクリックします。

Windows 11のリリースに伴い、MicrosoftはSmart App Control (SAC)を導入しました。これはSmartScreenの進化版です。

SACは、MicrosoftのアプリインテリジェンスサービスとWindowsのコード整合性機能を組み合わせて、ユーザーをデバイス上で実行される悪意のある、信頼されていない（署名されていない）、または潜在的に不要なアプリから保護します。

SACが有効になっているときは、Defender SmartScreenが置き換えられ、無効になります。

Microsoftは、SmartScreenおよびSmart App Controlのファイルの信頼レベルを照会するための文書化されていないAPIも公開しており、これにより研究者はファイルの信頼性を表示するユーティリティを開発できます。

Elastic Security Labsの調査報告書によると、LNKファイルの処理におけるバグ（LNKスタンピングと呼ばれる）は、脅威アクターが信頼されていないアプリをブロックするために設計されたSmart App Controlのセキュリティ制御を回避するのに役立ちます。

LNKスタンピングは、標準外のターゲットパスや内部構造を持つJavaScriptまたはMSIファイルに、作成された無効なコード署名を追加することを含みます。

クリックされると、explorer.exeは自動的にこれらのLNKファイルを標準的な形式に修正し、Windowsのセキュリティチェックが実行される前にダウンロードされたファイルからMotWラベルを削除します。

「この問題の最も簡単なデモは、ターゲット実行可能パスにドットやスペースを追加することです（例：powershell.exe.）。または、相対パス（例：. arget.exe）を含むLNKファイルを作成することもできます。リンクをクリックすると、explorer.exeは一致する.exe名を検索して見つけ、自動的にフルパスを修正し、ディスク上のファイルを更新（MotWを削除）し、最終的にターゲットを起動します」とElastic Security Labsの研究者は調査報告書に記載しています。

Elastic Security Labsは、VirusTotalでこのバグを示す複数のサンプルを特定しており、これは数年間にわたり悪用されてきたことを示しています。最も古いサンプルは6年以上前に提出されており、2018年2月にさかのぼります。

この研究会社は、Microsoft Security Response Center (MSRC)に発見を共有し、MSRCは「この問題は将来のWindowsアップデートで修正される可能性があります」と応答しました。

LNKスタンピングの他に、Elastic Security Labsは、攻撃者が検出回避に使用できる他の脆弱性についても説明しました。

署名されたマルウェア：コード署名または正当な拡張検証（EV）証明書を使用してマルウェアに署名することは、Smart App ControlやSmartScreenを警告しません。

評判のハイジャック：良好な評判を持つアプリを見つけて再利用し、セキュリティシステムを回避します。

評判のシーディング：無害に見えるバイナリを使用し、良好な動作を持つものを使用して、特定の条件が満たされるか、特定の時間が経過した場合にのみ、既知の脆弱性や悪意のあるコードを持つアプリケーションをトリガーします。

評判の改ざん：評判を変更せずにファイルの特定のセクションを変更し、攻撃者が信頼されたバイナリに悪意のあるコードを注入できるようにします。

「評判ベースの保護システムは、一般的なマルウェアをブロックするための強力なレイヤーです。しかし、他の保護技術と同様に、注意を払えば回避できる弱点があります」と同社は結論付けました。

「セキュリティチームは、ダウンロードを慎重に精査し、この分野での保護のためにOSネイティブのセキュリティ機能にのみ依存しないようにすべきです。」

Elastic Security Labsは、ファイルのSmart App Controlの信頼性をチェックするためのオープンソースツールをリリースしました。