Хакеры используют уязвимости в Windows Smart App Control на протяжении 6 лет

Исследователи в области кибербезопасности из Elastic Security Labs обнаружили проектные недостатки в Windows Smart App Control (SAC) и SmartScreen, которые позволяют злоумышленникам получить первоначальный доступ без предупреждений о безопасности или всплывающих окон.

Для тех, кто не в курсе, Microsoft (Defender) SmartScreen является встроенной функцией ОС с момента своего появления в Windows 8.

Он защищает от фишинговых или вредоносных веб-сайтов и приложений, а также от загрузки потенциально вредоносных файлов. Он работает с файлами, имеющими «Знак Интернета» (MotW), и на которые нажимают пользователи.

С выходом Windows 11 Microsoft представила Smart App Control (SAC), эволюцию SmartScreen.

SAC сочетает в себе интеллектуальные сервисы приложений Microsoft и функции целостности кода Windows для защиты пользователей от вредоносных, ненадежных (недоподписанных) или потенциально нежелательных приложений, работающих на устройстве.

Стоит отметить, что при включении SAC он заменяет и отключает Defender SmartScreen.

Microsoft также предоставляет недокументированные API для запроса уровня доверия файлов для SmartScreen и Smart App Control, что позволяет исследователям разработать утилиту, которая будет отображать доверие к файлу.

В исследовательском отчете Elastic Security Labs подробно описывается, что ошибка в обработке файлов LNK (названная LNK stomping) может помочь злоумышленникам обойти меры безопасности Smart App Control, предназначенные для блокировки ненадежных приложений.

LNK stomping включает в себя добавление поддельных и недействительных подписей кода к файлам JavaScript или MSI с нестандартными целевыми путями или внутренними структурами.

При нажатии на них explorer.exe автоматически изменяет эти файлы LNK на каноническое форматирование, что приводит к удалению метки MotW из загруженных файлов до выполнения проверок безопасности Windows.

«Самое простое демонстрация этой проблемы — добавить точку или пробел к целевому исполняемому пути (например, powershell.exe.). В качестве альтернативы можно создать файл LNK, который содержит относительный путь, такой как .\target.exe. После нажатия на ссылку explorer.exe будет искать и находить соответствующее имя .exe, автоматически исправлять полный путь, обновлять файл на диске (удаляя MotW) и, наконец, запускать цель», — написали исследователи Elastic Security Labs в своем исследовательском отчете.

Elastic Security Labs идентифицировали несколько образцов в VirusTotal, которые демонстрируют эту ошибку, указывая на то, что она эксплуатировалась в дикой природе на протяжении многих лет, причем самый старый образец был представлен более шести лет назад, в феврале 2018 года.

Исследовательская компания поделилась своими выводами с Центром реагирования на безопасность Microsoft (MSRC), который ответил, что проблема «может быть исправлена в будущем обновлении Windows».

Помимо LNK Stomping, Elastic Security Labs также описали другие уязвимости, которые злоумышленники могут использовать для уклонения от обнаружения, включая:

Подписанный вредоносный код: Подписание вредоносного ПО с использованием подписей кода или легитимных сертификатов расширенной проверки (EV) не вызовет тревогу у Smart App Control или SmartScreen.

Перехват репутации: Включает в себя поиск и повторное использование приложений с хорошей репутацией для обхода системы безопасности.

Посев репутации: Включает в себя использование бинарных файлов, которые могут показаться безобидными и имеют хорошее поведение, чтобы активировать приложение с известными уязвимостями или вредоносным кодом только при выполнении определенных условий или по истечении определенного времени.

Подделка репутации: Включает в себя изменение определенных разделов файла без изменения его репутации, чтобы позволить злоумышленникам внедрять вредоносный код в доверенные бинарные файлы.

«Системы защиты на основе репутации являются мощным слоем для блокировки обычного вредоносного ПО. Однако, как и любая техника защиты, они имеют уязвимости, которые можно обойти с некоторой осторожностью», — заключила компания.

«Команды безопасности должны тщательно проверять загрузки в своем стеке обнаружения и не полагаться исключительно на встроенные функции безопасности ОС для защиты в этой области».

Elastic Security Labs выпустили инструмент с открытым исходным кодом для проверки надежности Smart App Control файла.