Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Специалисты по кибербезопасности обнаружили недостатки в работе Smart App Control (SAC) и SmartScreen

08/08/24

preview-media-0-Custom-Logo-Screen

Выявленные уязвимости позволяют злоумышленникам проникать в целевые системы без срабатывания предупреждений и с минимальным взаимодействием с пользователем, пишет Securitylab.

SAC, представленный в Windows 11, — это облачная система безопасности, призванная блокировать запуск вредоносных и ненадежных приложений. В случаях, когда SAC не может сделать однозначный вывод о программе, она проверяет наличие действительной цифровой подписи.

SmartScreen, внедренный еще в Windows 10, выполняет аналогичную функцию, оценивая безопасность веб-сайтов и загружаемых файлов. Он анализирует репутацию URL-адресов и приложений, проверяя загруженные программы и их цифровые подписи. Если у URL, файла или приложения есть устоявшаяся репутация, пользователи не видят предупреждений, а отсутствие репутации приводит к маркировке объекта как потенциально опасного.

Стоит отметить, что при активации SAC происходит отключение Defender SmartScreen.

Исследователи из Elastic Security Labs выявили ряд фундаментальных недостатков в дизайне обеих систем, которые могут быть использованы для незаметного проникновения в систему.

Один из простейших способов обхода защиты — подписание вредоносного приложения действительным сертификатом расширенной проверки (EV). Эта техника уже активно применяется киберпреступниками, что недавно было продемонстрировано на примере вредоносной программы HotPage.

Эксперты выделили несколько других методов обхода защиты:

  • Захват репутации — использование приложений с хорошей репутацией для обхода системы, например, JamPlus или известных интерпретаторов AutoHotkey.
  • Посев репутации — применение внешне безобидного файла, контролируемого атакующим, который запускает вредоносный код при определенных условиях или по истечении заданного времени.
  • Подмена репутации — модификация частей легитимного исполняемого файла для внедрения вредоносного кода без потери общей положительной репутации.
  • LNK Stomping — эксплуатация уязвимости в обработке ярлыков Windows (LNK) для удаления метки безопасности и обхода защиты SAC. Этот метод включает создание LNK-файлов с нестандартными параметрами, которые при открытии модифицируются системой, что приводит к удалению метки безопасности до проведения проверок.

Особую озабоченность вызывает тот факт, что следы использования техники LNK Stomping были обнаружены еще в феврале 2018 года. Это свидетельствует о том, что злоумышленники знали об этом методе обхода защиты на протяжении нескольких лет.

Исследователи подчеркивают, что хотя системы защиты на основе репутации эффективны против массового вредоносного ПО, они имеют уязвимости, которые могут быть использованы опытными хакерами. Специалисты по безопасности рекомендуют не полагаться исключительно на встроенные функции защиты операционной системы и тщательно проверять все загружаемые файлы.

Темы:WindowsУгрозыElastic Security Labsкибербезопасность
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...