自2018年一直被黑客利用,Windows又一“后门”揭秘
Windows智能应用控制(Smart App Control)和智能屏幕(SmartScreen)存在一个设计缺陷,该缺陷允许攻击者在不触发安全警告的情况下启动程序,至少自2018年以来一直在被利用。
智能应用控制是一项基于信任的安全功能,它使用微软的应用智能服务进行安全预测,并利用Windows的代码完整性功能来识别和阻止不受信任的(未签名的)或潜在危险的二进制文件和应用程序。
它在Windows 11中取代了智能屏幕,智能屏幕是Windows 8中引入的一个类似功能,旨在保护用户免受潜在恶意内容的侵害(当智能应用控制未启用时,智能屏幕将接管)。当用户尝试打开带有“Web标记”(MotW)标签的文件时,这两个功能都会被激活。
正如Elastic安全实验室所发现的,LNK文件处理中的一个错误(被称为LNK踩踏)可以帮助威胁行为者绕过智能应用控制的安全控制,这些控制旨在阻止不受信任的应用程序。
LNK踩踏包括创建具有非标准目标路径或内部结构的LNK文件,当用户点击这样的文件时,explorer.exe会自动修改LNK文件以使用正确的规范格式。
打开下载文件时的警告(BleepingComputer)
但是,这也从下载的文件中移除了MotW(Web标记),Windows安全功能使用该标签来触发安全检查。
要利用这个设计缺陷,可以向目标可执行文件路径添加一个点或空格(例如,在二进制文件的扩展名后加一个点,如"powershell.exe."),或创建一个包含相对路径的LNK文件,如".\target.exe"。
当用户点击链接时,Windows资源管理器将查找并识别匹配的.exe名称,修正完整路径,通过更新磁盘上的文件来移除MotW,并启动可执行文件。
Elastic安全实验室认为,这一漏洞多年来一直被滥用,因为他们在VirusTotal中发现了多个利用此漏洞的样本,其中最早的提交时间超过六年。
智能应用控制LNK踩踏演示(Elastic安全实验室)
他们已经将这些发现与微软安全响应中心共享,后者表示问题可能在未来的Windows更新中得到解决。
此外,Elastic安全实验室还描述了其他可以被攻击者利用来绕过智能应用控制和SmartScreen的弱点,包括:
Elastic安全实验室警告说,智能应用控制和智能屏幕存在一些基本设计缺陷,可以允许在没有安全警告和用户交互最少的情况下进行初始访问。
安全团队应该仔细审查他们的检测堆栈中的下载内容,而不是仅仅依赖操作系统的原生安全功能来提供这方面的保护。
Elastic安全实验室发布相关信息及检测逻辑和应对措施,旨在帮助防御者在补丁可用之前识别这种活动。该实验室的研究员Joe Desimone已经发布了一个开源工具,用于检查文件的智能应用控制信任级别。
参考来源: