🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Vấn đề bỏ qua tính năng bảo mật Smart App Control, SmartScreen trong Windows đã bị khai thác từ năm 2018

06/08/2024

Một lỗi thiết kế trong Windows Smart App Control và SmartScreen cho phép kẻ tấn công khởi chạy chương trình mà không kích hoạt cảnh báo bảo mật đã bị khai thác kể từ ít nhất năm 2018.

Smart App Control là tính năng bảo mật dựa trên danh tiếng (reputation-based security), sử dụng các dịch vụ trí tuệ ứng dụng của Microsoft để dự đoán tính an toàn và các tính năng toàn vẹn mã của Windows để xác định và chặn các tệp nhị phân và ứng dụng không tin cậy (chưa được ký) hoặc tiềm ẩn nguy hiểm.

Nó thay thế SmartScreen trong Windows 11, một tính năng tương tự được giới thiệu trong Windows 8 được thiết kế để bảo vệ chống lại nội dung có nguy cơ gây hại (SmartScreen sẽ thay thế khi Smart App Control không được bật). Cả hai tính năng đều được kích hoạt khi người dùng cố gắng mở các tệp được gắn nhãn Mark of the Web (MotW).

Như Elastic Security Labs phát hiện, một lỗi trong việc xử lý tệp LNK (được gọi là LNK stomping) có thể giúp kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật Smart App Control được thiết kế để chặn các ứng dụng không đáng tin cậy.

LNK stomping liên quan đến việc tạo các tệp LNK với đường dẫn đích hoặc cấu trúc bên trong không chuẩn. Khi người dùng nhấp vào tệp như vậy, explorer.exe sẽ tự động sửa đổi các tệp LNK để sử dụng đúng định dạng chuẩn.

Tuy nhiên, thao tác này cũng xóa nhãn MotW khỏi các tệp đã tải xuống, đây là nhãn mà các tính năng bảo mật của Windows sử dụng để kích hoạt kiểm tra bảo mật.

Để khai thác lỗi thiết kế này, người ta có thể thêm dấu chấm hoặc khoảng trắng vào đường dẫn thực thi mục tiêu (ví dụ, sau phần mở rộng của tệp nhị phân như "powershell.exe.") hoặc tạo tệp LNK chứa đường dẫn tương đối, chẳng hạn như ".\target.exe".

Khi người dùng nhấp vào liên kết, Windows Explorer sẽ tìm kiếm và xác định tên .exe trùng khớp, sửa đường dẫn đầy đủ, xóa MotW bằng cách cập nhật tệp trên đĩa và khởi chạy tệp thực thi.

Elastic Security Labs cho rằng điểm yếu này đã bị lợi dụng trong nhiều năm qua vì họ phát hiện nhiều mẫu trong VirusTotal được thiết kế để khai thác vấn đề này, trong đó mẫu cũ nhất đã được gửi cách đây hơn sáu năm.

Trung tâm phản hồi bảo mật của Microsoft cho biết vấn đề "có thể được khắc phục trong bản cập nhật Windows trong tương lai".

Elastic Security Labs cũng tiết lộ các điểm yếu khác mà kẻ tấn công có thể khai thác để vượt qua Smart App Control và SmartScreen, bao gồm:

- Signed malware: ký các payload (tệp) độc hại bằng chứng chỉ ký mã hoặc chứng chỉ ký Xác thực mở rộng (EV).

- Reputation hijacking: tìm kiếm và sử dụng lại các ứng dụng có danh tiếng tốt để vượt qua kiểm tra của hệ thống. 

- Reputation seeding: triển khai các tệp nhị phân do kẻ tấn công kiểm soát lên hệ thống (ví dụ: ứng dụng có lỗ hổng đã biết hoặc mã độc chỉ kích hoạt khi đáp ứng một số điều kiện nhất định).

- Reputation tampering: chèn mã độc vào tệp nhị phân mà không làm mất danh tiếng liên quan.

Elastic Security Labs cảnh báo: "Smart App Control và SmartScreen có một số điểm yếu thiết kế có thể cho phép truy cập ban đầu mà không có cảnh báo bảo mật và tương tác tối thiểu với người dùng"  .

"Các nhóm bảo mật nên kiểm tra kỹ lưỡng các bản tải xuống và không chỉ dựa vào các tính năng bảo mật có sẵn của hệ điều hành để bảo vệ trong lĩnh vực này.

"Chúng tôi đang công bố thông tin này, cùng với logic phát hiện và biện pháp đối phó, để giúp những người bảo vệ xác định hoạt động này cho đến khi bản vá có sẵn."

Nhà nghiên cứu Joe Desimone của  Elastic Security  Labs đã phát hành một công cụ nguồn mở để kiểm tra mức độ tin cậy của Smart App Control đối với một tệp .

Nguồn: bleepingcomputer.com

 

scrolltop