Elastic Security Labs のサイバーセキュリティ研究者は、Windows Smart App Control (SAC) と SmartScreen の設計上の欠陥を発見しました。これらの欠陥により、脅威アクターはセキュリティ警告やポップアップを表示せずに初期アクセスを取得できるようになります。
ご存じない方のために説明すると、Microsoft (Defender) SmartScreen は、Windows 8 での導入以来、OS に組み込まれている機能です。
フィッシングやマルウェアの Web サイトやアプリケーション、および悪意のある可能性のあるファイルのダウンロードから保護します。以下のファイル上で実行されます。「ウェブのマーク」(MotW) であり、ユーザーによってクリックされます。
Windows 11 のリリースに伴い、Microsoft は SmartScreen の進化版である Smart App Control (SAC) を導入しました。
SAC は、Microsoft のアプリ インテリジェンス サービスと Windows のコード整合性機能を組み合わせて、デバイス上で実行されている悪意のあるアプリ、信頼されていない (署名されていない) アプリ、または望ましくない可能性のあるアプリからユーザーを保護します。
SAC を有効にすると、Defender SmartScreen が置き換えられ、無効になることに注意してください。
Microsoft は、SmartScreen および Smart App Control のファイルの信頼レベルをクエリするための文書化されていない API も公開しています。これにより、研究者はファイルの信頼性を表示するユーティリティを開発できます。
Elastic Security Labs は調査報告書の中で、LNK ファイルの処理におけるバグ (LNK ストンピングと呼ばれる) が、信頼できないアプリをブロックするように設計された Smart App Control セキュリティ制御をバイパスすることで、脅威アクターがセキュリティを回避するのに役立つ可能性があると詳しく説明しています。
LNK ストンピングでは、非標準のターゲット パスまたは内部構造を持つ JavaScript または MSI ファイルに、細工された無効なコード署名署名を追加します。
クリックすると、explorer.exe はこれらの LNK ファイルを正規の形式で自動的に変更し、Windows セキュリティ チェックが実行される前に、ダウンロードされたファイルから MotW ラベルを削除します。
「この問題の最も簡単なデモンストレーションは、ターゲットの実行可能パス (powershell.exe など) にドットまたはスペースを追加することです。あるいは、.\target.exe などの相対パスを含む LNK ファイルを作成することもできます。リンクをクリックすると、explorer.exe は一致する .exe 名を検索して見つけ、完全なパスを自動的に修正し、ディスク上のファイルを更新し (MotW を削除し)、最後にターゲットを起動します。」と Elastic Security Labs の研究者は述べています。書きましたその調査報告書で。
Elastic Security Labs は、このバグを示す複数のサンプルを VirusTotal で特定しました。これは、このバグが何年にもわたって実際に悪用されてきたことを示しており、最も古いサンプルは 6 年以上前 (早くても 2018 年 2 月) に提出されたものです。
調査会社は調査結果を Microsoft Security Response Center (MSRC) に共有したが、MSRC はこの問題は「将来の Windows アップデートで修正される可能性がある」と回答した。
Elastic Security Labs は、LNK Stomping 以外にも、攻撃者が検出回避に利用できる次のような他の弱点についても説明しました。
署名付きマルウェア: コード署名または正規の Extended Validation (EV) 証明書を使用してマルウェアに署名しても、Smart App Control や SmartScreen は警告しません。
評判ハイジャック: セキュリティ システムをバイパスするために、評判の良いアプリを見つけて再利用することが含まれます。
評判のシード: 特定の条件が満たされた場合、または一定の時間が経過した場合にのみ、既知の脆弱性または悪意のあるコードを持つアプリケーションをトリガーする、無害で良好な動作をしているように見えるバイナリの使用が含まれます。
評判Tアンペア数: レピュテーションを変更せずにファイルの特定のセクションを変更し、攻撃者が信頼できるバイナリに悪意のあるコードを挿入できるようにします。
「レピュテーションベースの保護システムは、汎用マルウェアをブロックするための強力なレイヤーです。ただし、他の保護技術と同様に、注意すれば回避できる弱点があります」と同社は結論づけています。
「セキュリティ チームは、検出スタックでダウンロードを注意深く精査する必要があり、この分野の保護を OS ネイティブのセキュリティ機能だけに依存しないでください。」
Elastic Security Labs がリリースしましたオープンソースツールファイルの Smart App Control の信頼性をチェックします。
