Investigadores de ciberseguridad han descubierto debilidades de diseño en Windows Smart App Control y SmartScreen de Microsoft que podrían permitir a los actores de amenazas obtener acceso inicial a entornos objetivo sin generar ninguna advertencia.
Control de aplicaciones inteligente (SACO) es una función de seguridad basada en la nube que Microsoft introdujo en Windows 11 para impedir que se ejecuten en el sistema aplicaciones maliciosas, no confiables y potencialmente no deseadas. En los casos en los que el servicio no puede hacer una predicción sobre la aplicación, verifica si está firmada o tiene una firma válida para poder ejecutarse.
SmartScreen, que se lanzó junto con Windows 10, es una función de seguridad similar que determina si un sitio o una aplicación descargada es potencialmente maliciosa. También aprovecha un enfoque basado en la reputación para la protección de URL y aplicaciones.
«Microsoft Defender SmartScreen evalúa las URL de un sitio web para determinar si se sabe que distribuyen o alojan contenido inseguro», dijo Redmond notas en su documentación.
«También permite comprobar la reputación de las aplicaciones, comprobar los programas descargados y la firma digital utilizada para firmar un archivo. Si una URL, un archivo, una aplicación o un certificado tiene una reputación establecida, los usuarios no ven ninguna advertencia. Si no hay reputación, el elemento se marca como de mayor riesgo y presenta una advertencia al usuario».
También vale la pena mencionar que cuando SAC está habilitado, reemplaza y deshabilita Defender SmartScreen.
«Smart App Control y SmartScreen tienen una serie de debilidades de diseño fundamentales que pueden permitir un acceso inicial sin advertencias de seguridad y con una interacción mínima del usuario», Elastic Security Labs dicho en un informe compartido con The Hacker News.
Una de las formas más sencillas de eludir estas protecciones es conseguir que la aplicación esté firmada con un certificado de Validación Extendida (EV) legítimo, una técnica ya explotada por actores maliciosos para distribuir malware, como se evidenció recientemente en el caso de HotPage.
A continuación se enumeran algunos otros métodos que se pueden utilizar para evadir la detección:
- Secuestro de reputación, que implica identificar y reutilizar aplicaciones con buena reputación para eludir el sistema (por ejemplo, Jam Plus es una empresa de servicios de consultoría de gestión de proyectos. o un intérprete AutoHotkey conocido)
- Siembra de reputación, que implica el uso de un binario controlado por un atacante aparentemente inofensivo para desencadenar el comportamiento malicioso debido a una vulnerabilidad en una aplicación o después de que haya transcurrido un cierto tiempo.
- Manipulación de reputación, que implica alterar ciertas secciones de un binario legítimo (por ejemplo, una calculadora) para inyectar código shell sin perder su reputación general
- LNK Stomping, que implica explotar un error en la forma en que se manejan los archivos de acceso directo de Windows (LNK) para eliminar la etiqueta de marca de la web (MotW) y eludir las protecciones de SAC debido al hecho de que SAC bloquea los archivos con la etiqueta.
«Se trata de crear archivos LNK que tienen rutas de destino o estructuras internas no estándar», dijeron los investigadores. «Al hacer clic, explorer.exe modifica estos archivos LNK con el formato canónico. Esta modificación hace que se elimine la etiqueta MotW antes de que se realicen los controles de seguridad».
«Los sistemas de protección basados en la reputación son una capa poderosa para bloquear el malware comercial», afirmó la empresa. «Sin embargo, como cualquier técnica de protección, tienen debilidades que se pueden evitar con un poco de cuidado. Los equipos de seguridad deben examinar cuidadosamente las descargas en su pila de detección y no confiar únicamente en las funciones de seguridad nativas del sistema operativo para la protección en esta área».