Hackers Explorando Falhas No Controle de Aplicativos Inteligente do Windows Há 6 Anos

Pesquisadores de cibersegurança do Elastic Security Labs descobriram falhas de design no Controle de Aplicativos Inteligente do Windows (SAC) e no SmartScreen que permitem que atores de ameaças obtenham acesso inicial sem avisos ou pop-ups de segurança.

Para quem não sabe, o SmartScreen da Microsoft (Defender) é um recurso integrado ao sistema operacional desde sua introdução no Windows 8.

Ele protege contra sites e aplicativos de phishing ou malware e o download de arquivos potencialmente maliciosos. Ele funciona em arquivos que têm a “Marca da Web” (MotW) e são clicados pelos usuários.

Com o lançamento do Windows 11, a Microsoft introduziu o Controle de Aplicativos Inteligente (SAC), uma evolução do SmartScreen.

O SAC combina os serviços de inteligência de aplicativos da Microsoft e os recursos de integridade de código do Windows para proteger os usuários de aplicativos maliciosos, não confiáveis (não assinados) ou potencialmente indesejados que estão sendo executados no dispositivo.

Vale ressaltar que, quando o SAC está ativado, ele substitui e desabilita o SmartScreen do Defender.

A Microsoft também expõe APIs não documentadas para consultar o nível de confiança de arquivos para o SmartScreen e o Controle de Aplicativos Inteligente, o que permite que pesquisadores desenvolvam uma ferramenta que exibirá a confiança de um arquivo.

Em um relatório investigativo, o Elastic Security Labs detalha que um bug no manuseio de arquivos LNK (denominado LNK stomping) pode ajudar atores de ameaças a contornar a segurança, ignorando os controles de segurança do Controle de Aplicativos Inteligente projetados para bloquear aplicativos não confiáveis.

O LNK stomping envolve anexar assinaturas de código de assinatura criadas e inválidas a arquivos JavaScript ou MSI com caminhos de destino ou estruturas internas não padrão.

Quando clicados, o explorer.exe modifica automaticamente esses arquivos LNK com a formatação canônica, levando à remoção do rótulo MotW de arquivos baixados antes que as verificações de segurança do Windows sejam realizadas.

“A demonstração mais fácil desse problema é anexar um ponto ou espaço ao caminho do executável de destino (por exemplo, powershell.exe.). Alternativamente, pode-se criar um arquivo LNK que contenha um caminho relativo como .\target.exe. Após clicar no link, o explorer.exe procurará e encontrará o nome .exe correspondente, corrigirá automaticamente o caminho completo, atualizará o arquivo no disco (removendo MotW) e, finalmente, lançará o alvo”, escreveram os pesquisadores do Elastic Security Labs em seu relatório investigativo.

O Elastic Security Labs identificou várias amostras no VirusTotal que exibem o bug, indicando que ele tem sido explorado na natureza há anos, com a amostra mais antiga enviada há mais de seis anos, que é tão cedo quanto fevereiro de 2018.

A empresa de pesquisa compartilhou suas descobertas com o Centro de Resposta de Segurança da Microsoft (MSRC), que respondeu dizendo que o problema “pode ser corrigido em uma futura atualização do Windows.”

Além do LNK Stomping, o Elastic Security Labs também descreveu outras fraquezas que os atacantes podem usar para evasão de detecção, incluindo:

Malware Assinado: Assinar malware usando certificados de assinatura de código ou certificados de Validação Estendida (EV) legítimos não alertaria o Controle de Aplicativos Inteligente ou o SmartScreen.

Sequestro de Reputação: Envolve encontrar e reutilizar aplicativos com boa reputação para contornar o sistema de segurança.

Semear Reputação: Envolve usar binários que podem parecer inócuos e ter bom comportamento para acionar um aplicativo com vulnerabilidades conhecidas ou código malicioso apenas se certas condições forem atendidas ou um certo tempo tiver decorrido.

Manipulação de Reputação: Envolve modificar certas seções de um arquivo sem mudar sua reputação para permitir que atacantes injetem código malicioso em binários confiáveis.

“Sistemas de proteção baseados em reputação são uma camada poderosa para bloquear malware comum. No entanto, como qualquer técnica de proteção, eles têm fraquezas que podem ser contornadas com algum cuidado”, concluiu a empresa.

“As equipes de segurança devem examinar cuidadosamente os downloads em sua pilha de detecção e não confiar apenas em recursos de segurança nativos do sistema operacional para proteção nesta área.”

O Elastic Security Labs lançou uma ferramenta de código aberto para verificar a confiabilidade do Controle de Aplicativos Inteligente de um arquivo.