Уязвимость в Windows позволяет обходить защиту Smart App Control

В Windows Smart App Control и SmartScreen обнаружена серьезная уязвимость в системе безопасности, которую хакеры эксплуатировали с 2018 года. Эта уязвимость позволяет злоумышленникам запускать вредоносные программы на устройствах без срабатывания предупреждений, которые обычно появляются при открытии файлов с меткой “Mark of the Web” (MotW).

Smart App Control и SmartScreen предназначены для отображения предупреждений при открытии файлов MotW, которые могут содержать потенциально опасные приложения и двоичные файлы. Уязвимость была обнаружена компанией Elastic Security Labs.

Эксплуатация уязвимости происходит путем создания LNK-файлов с измененными целевыми путями или внутренними структурами, которые автоматически переформатируются explorer.exe при открытии. Это переформатирование удаляет MotW, предотвращая появление предупреждений безопасности от Smart App Control и SmartScreen.

Для изменения целевого пути файла достаточно добавить один пробел или точку, которые Windows Explorer исправит, удалив при этом тег MotW путем обновления файла. То же самое происходит при создании LNK-файла с измененным относительным путем.

Elastic Security Labs также выявили другие способы обхода мер безопасности приложения. Исследователи смогли подписать вредоносные нагрузки с помощью сертификатов подписи кода или EV-подписи, которые не вызывали предупреждений Smart App Control или SmartScreen. Кроме того, возможно использование приложений с уже существующей хорошей репутацией для обхода проверок безопасности.

Эксперты Elastic Security Labs подчеркивают, что команды безопасности должны тщательно проверять загрузки в своем стеке обнаружения и не полагаться исключительно на встроенные функции безопасности операционной системы для защиты в этой области.

Листинг X-Empire 30 сентября! Успеть залететь в игру!

Подписывайтесь на Sciencexxi.com в Telegram
Science XXI