ИБ-специалисты обнаружили дефект в Windows Smart App Control и SmartScreen, который используется хакерами как минимум с 2018 года. Проблема позволяет злоумышленникам запускать софт в обход предупреждений системы безопасности.
Smart App Control — это защитная функция на основе репутации, которая использует службы приложений Microsoft для прогнозирования их безопасности, а также проверяет целостность кода для выявления и блокировки недоверенных (неподписанных) или потенциально опасных бинарников и приложений.
В Windows 11 она заменяет собой SmartScreen (аналогичную функцию, появившуюся еще в Windows 8 и предназначенную для защиты от потенциально вредоносного содержимого. SmartScreen будет работать, если Smart App Control не работает). Обе функции активируются, если пользователь пытается открыть файлы, помеченные Mark of the Web (MotW).
Специалисты Elastic Security Labs обнаружили, что ошибка в работе с LNK-файлами (получившая название LNK stomping) позволяет обойти средства безопасности Smart App Control, предназначенные для блокировки недоверенных приложений.
«Smart App Control и SmartScreen имеют ряд фундаментальных недостатков, которые позволяют получить первоначальный доступ без предупреждений безопасности и с минимальным взаимодействием с пользователем», — предупреждают исследователи.
Техника LNK stomping подразумевает создание LNK-файлов с нестандартными целевыми путями или внутренней структурой. Когда пользователь нажимает на такой файл, explorer.exe автоматически изменяет LNK-файлы, чтобы те использовали правильное форматирование. Однако при этом для загруженных файлов удаляется отметка MotW, которая используется средствами защиты и запускает проверки безопасности.
При этом для эксплуатации проблемы достаточно добавить точку или пробел к пути (например, после расширения бинарника, такого как powershell.exe.
) или создать LNK-файл, содержащий относительный путь, например .\target.exe
.
Эксперты предупреждают, что этой проблемой уже много лет пользуются хакеры, а в VirusTotal найдено множество образцов, предназначенных для ее эксплуатации, самый старый из которых датирован 2018 годом.
Компания уже уведомила о своих выводах специалистов Microsoft Security Response Center, и разработчики обещают, что проблема «должна быть устранена в одном из грядущих обновлений Windows».