Một lỗi thiết kế trong Windows Smart App Control và SmartScreen cho phép kẻ tấn công khởi chạy chương trình mà không kích hoạt cảnh báo bảo mật đã bị khai thác kể từ ít nhất năm 2018.
Smart App Control là tính năng bảo mật dựa trên danh tiếng (reputation-based security), sử dụng các dịch vụ trí tuệ ứng dụng của Microsoft để dự đoán tính an toàn và các tính năng toàn vẹn mã của Windows để xác định và chặn các tệp nhị phân và ứng dụng không tin cậy (chưa được ký) hoặc tiềm ẩn nguy hiểm.
Nó thay thế SmartScreen trong Windows 11, một tính năng tương tự được giới thiệu trong Windows 8 được thiết kế để bảo vệ chống lại nội dung có nguy cơ gây hại (SmartScreen sẽ thay thế khi Smart App Control không được bật). Cả hai tính năng đều được kích hoạt khi người dùng cố gắng mở các tệp được gắn nhãn Mark of the Web (MotW).
Như Elastic Security Labs phát hiện, một lỗi trong việc xử lý tệp LNK (được gọi là LNK stomping) có thể giúp kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật Smart App Control được thiết kế để chặn các ứng dụng không đáng tin cậy.
LNK stomping liên quan đến việc tạo các tệp LNK với đường dẫn đích hoặc cấu trúc bên trong không chuẩn. Khi người dùng nhấp vào tệp như vậy, explorer.exe sẽ tự động sửa đổi các tệp LNK để sử dụng đúng định dạng chuẩn.
Tuy nhiên, thao tác này cũng xóa nhãn MotW khỏi các tệp đã tải xuống, đây là nhãn mà các tính năng bảo mật của Windows sử dụng để kích hoạt kiểm tra bảo mật.
Để khai thác lỗi thiết kế này, người ta có thể thêm dấu chấm hoặc khoảng trắng vào đường dẫn thực thi mục tiêu (ví dụ, sau phần mở rộng của tệp nhị phân như "powershell.exe.") hoặc tạo tệp LNK chứa đường dẫn tương đối, chẳng hạn như ".\target.exe".
Khi người dùng nhấp vào liên kết, Windows Explorer sẽ tìm kiếm và xác định tên .exe trùng khớp, sửa đường dẫn đầy đủ, xóa MotW bằng cách cập nhật tệp trên đĩa và khởi chạy tệp thực thi.
Elastic Security Labs cho rằng điểm yếu này đã bị lợi dụng trong nhiều năm qua vì họ phát hiện nhiều mẫu trong VirusTotal được thiết kế để khai thác vấn đề này, trong đó mẫu cũ nhất đã được gửi cách đây hơn sáu năm.
Trung tâm phản hồi bảo mật của Microsoft cho biết vấn đề "có thể được khắc phục trong bản cập nhật Windows trong tương lai".
Elastic Security Labs cũng tiết lộ các điểm yếu khác mà kẻ tấn công có thể khai thác để vượt qua Smart App Control và SmartScreen, bao gồm:
- Signed malware: ký các payload (tệp) độc hại bằng chứng chỉ ký mã hoặc chứng chỉ ký Xác thực mở rộng (EV).
- Reputation hijacking: tìm kiếm và sử dụng lại các ứng dụng có danh tiếng tốt để vượt qua kiểm tra của hệ thống.
- Reputation seeding: triển khai các tệp nhị phân do kẻ tấn công kiểm soát lên hệ thống (ví dụ: ứng dụng có lỗ hổng đã biết hoặc mã độc chỉ kích hoạt khi đáp ứng một số điều kiện nhất định).
- Reputation tampering: chèn mã độc vào tệp nhị phân mà không làm mất danh tiếng liên quan.
Elastic Security Labs cảnh báo: "Smart App Control và SmartScreen có một số điểm yếu thiết kế có thể cho phép truy cập ban đầu mà không có cảnh báo bảo mật và tương tác tối thiểu với người dùng" .
"Các nhóm bảo mật nên kiểm tra kỹ lưỡng các bản tải xuống và không chỉ dựa vào các tính năng bảo mật có sẵn của hệ điều hành để bảo vệ trong lĩnh vực này.
"Chúng tôi đang công bố thông tin này, cùng với logic phát hiện và biện pháp đối phó, để giúp những người bảo vệ xác định hoạt động này cho đến khi bản vá có sẵn."
Nhà nghiên cứu Joe Desimone của Elastic Security Labs đã phát hành một công cụ nguồn mở để kiểm tra mức độ tin cậy của Smart App Control đối với một tệp .
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Các bản cập nhật bảo mật Android tháng này đã vá 46 lỗ hổng, bao gồm lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã bị khai thác trong các cuộc tấn công có chủ đích.
Tín nhiệm mạng | Một chiến dịch ransomware Magniber lớn đang diễn ra, mã hóa thiết bị của người dùng gia đình trên toàn thế giới và yêu cầu khoản tiền chuộc lên đến hàng nghìn đô la.
Tín nhiệm mạng | Twilio cuối cùng đã khai tử ứng dụng Authy dành cho máy tính để bàn, buộc người dùng phải đăng xuất khỏi ứng dụng trên máy tính để bàn của họ.
Tín nhiệm mạng | Một chiến dịch độc hại nhắm vào các thiết bị Android trên toàn thế giới sử dụng hàng nghìn bot Telegram để lây nhiễm phần mềm độc hại đánh cắp tin nhắn SMS vào các thiết bị nhằm đánh cắp các mã xác thực một lần (OTP) cho hơn 600 dịch vụ.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác lỗi cấu hình trong Selenium Grid, một framework thử nghiệm ứng dụng web phổ biến, để triển khai công cụ XMRig đã sửa đổi nhằm khai thác tiền điện tử Monero.
Tín nhiệm mạng | Một vấn đề bảo mật trong phiên bản mới nhất của WhatsApp dành cho Windows cho phép gửi các tệp đính kèm Python và PHP, các tệp này sẽ được thực thi mà không có bất kỳ cảnh báo nào khi người nhận mở chúng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
