Pesquisadores de cibersegurança descobriram pontos fracos no design do Windows Smart App Control e do SmartScreen da Microsoft, que poderiam permitir que atores de ameaças ganhassem acesso inicial a ambientes alvo sem levantar quaisquer advertências.
Smart App Control (SAC) é um recurso de segurança alimentado pela nuvem introduzido pela Microsoft no Windows 11 para bloquear aplicativos maliciosos, não confiáveis e potencialmente indesejados de serem executados no sistema.
Nos casos em que o serviço não consegue fazer uma previsão sobre o aplicativo, verifica se ele é assinado ou tem uma assinatura válida para que possa ser executado.
SmartScreen, que foi lançado junto com o Windows 10, é um recurso de segurança similar que determina se um site ou um aplicativo baixado é potencialmente malicioso.
Ele também utiliza uma abordagem baseada na reputação para a proteção de URLs e aplicativos.
"A Microsoft Defender SmartScreen avalia as URLs de um site para determinar se elas são conhecidas por distribuir ou hospedar conteúdo inseguro," nota Redmond em sua documentação.
Ela também fornece verificações de reputação para aplicativos, verificando programas baixados e a assinatura digital usada para assinar um arquivo.
Se uma URL, um arquivo, um aplicativo ou um certificado tem uma reputação estabelecida, os usuários não veem nenhum aviso.
Se não houver reputação, o item é marcado como um risco maior e apresenta um aviso ao usuário.
Também vale mencionar que quando o SAC está habilitado, ele substitui e desabilita o Defender SmartScreen.
"Smart App Control e SmartScreen possuem um número de pontos fracos de design fundamentais que podem permitir acesso inicial sem avisos de segurança e com interação mínima do usuário," disse a Elastic Security Labs.
Uma das maneiras mais fáceis de contornar essas proteções é fazer com que o aplicativo seja assinado com um certificado de Validação Estendida (EV) legítimo, uma técnica já explorada por atores maliciosos para distribuição de malware, como evidenciado recentemente no caso do HotPage.
Algumas dos outros métodos que podem ser usados para evasão de detecção estão listados abaixo:
-Reputation Hijacking, que envolve identificar e reutilizar aplicativos com boa reputação para burlar o sistema (por exemplo, JamPlus ou um conhecido interpretador de AutoHotkey)
-Reputation Seeding, que envolve usar um binário controlado pelo atacante aparentemente inócuo para desencadear o comportamento malicioso devido a uma vulnerabilidade em um aplicativo, ou após um determinado tempo ter decorrido.
-Reputation Tampering, que envolve alterar certas seções de um binário legítimo (por exemplo, calculadora) para injetar shellcode sem perder sua reputação geral
LNK Stomping, que envolve explorar um bug na forma como o Windows lida com arquivos de atalho (LNK) para remover a tag mark-of-the-web (MotW) e contornar as proteções do SAC, devido ao fato de que o SAC bloqueia arquivos com o rótulo.
"Isso envolve criar arquivos LNK que têm caminhos ou estruturas internas não padronizados," disseram os pesquisadores.
Quando clicados, esses arquivos LNK são modificados pelo explorer.exe com a formatação canônica.
Essa modificação leva à remoção do rótulo MotW antes das verificações de segurança serem realizadas.
A Elastic Security Labs disse que encontrou exploits no mundo real que aproveitam o LNK stomping desde fevereiro de 2018, citando artefatos submetidos ao VirusTotal, sugerindo que os atores de ameaças estão cientes do bypass há anos.
"Sistemas de proteção baseados em reputação são uma camada poderosa para bloquear malware comum," disse a empresa.
No entanto, como qualquer técnica de proteção, eles têm fraquezas que podem ser contornadas com algum cuidado.
As equipes de segurança devem examinar downloads cuidadosamente em sua pilha de detecção e não depender exclusivamente de recursos de segurança nativos do sistema operacional para proteção nesta área.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...