本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
智能应用程序控制是一种基于信誉的安全功能,它使用Microsoft的应用程序智能服务进行安全预测,并使用Windows的代码完整性功能来识别和阻止不受信任(未签名)或潜在危险的二进制文件和应用程序。
它取代了Windows 11中的SmartScreen,后者是Windows 8中引入的一项类似功能,旨在防止潜在的恶意内容(未启用智能应用控制时,SmartScreen将接管)。
当用户尝试打开标有Web标记(MotW)标签的文件时,这两个功能都会被激活。
Elastic Security Labs发现,Windows智能应用控制和SmartScreen中存在设计缺陷,处理LNK文件时存在一个漏洞(称为LNK踩踏),该漏洞使攻击者能够启动程序而不会触发安全警告,可以帮助威胁者绕过旨在阻止不受信任的应用程序的智能应用程序控制安全控制。该缺陷至少自2018年以来就一直受到利用。
LNK破坏涉及创建具有非标准目标路径或内部结构的LNK文件。当用户点击此类文件时,explorer.exe会自动修改LNK文件以使用正确的规范格式。
但是,这也会从下载的文件中删除MotW(Web标记)标签,Windows安全功能使用该标签来触发安全检查。
打开下载的文件时发出警告
为了利用此设计缺陷,可以在目标可执行文件路径后附加一个点或空格(例如,在二进制文件的扩展名“powershell.exe”之后),或者创建包含相对路径的LNK文件,例如“target.exe”。
当用户单击链接时,Windows资源管理器将查找并识别匹配的.exe名称,更正完整路径,通过更新磁盘上的文件删除MotW,然后启动可执行文件。
Elastic Security Labs认为,这一弱点多年来一直被滥用,因为它在VirusTotal中发现了多个旨在利用该弱点的样本,其中最早的样本是在六年多前提交的。
它还与微软安全响应中心分享了这些发现,该中心表示该问题“可能会在未来的Windows更新中得到修复”。
智能应用控制LNK踩踏演示
Elastic安全实验室还描述了攻击者可以利用来绕过智能应用控制和SmartScreen的其他弱点,包括:
·签名恶意软件:使用代码签名或扩展验证(EV)签名证书对恶意负载进行签名。
·声誉劫持:查找并重新利用声誉良好的应用程序来绕过系统。
·声誉植入:将攻击者控制的二进制文件部署到系统上(例如,具有已知漏洞的应用程序或仅在满足某些条件时触发的恶意代码)。
·声誉篡改:在二进制文件中注入恶意代码而不会失去相关声誉。
Elastic Security Labs认为Smart App Control和SmartScreen存在一些基本的设计缺陷,可能导致初始访问时没有安全警告,且用户交互最少。
安全团队应在其检测堆栈中仔细审查下载,而不能仅依赖操作系统原生的安全功能来保护这一领域。目前,Elastic Security Labs研究员已发布用于检查文件智能应用控制信任级别的开源工具。