Des chercheurs en cybersécurité ont découvert des faiblesses de conception dans Windows Smart App Control et SmartScreen de Microsoft qui pourraient permettre aux acteurs malveillants d’obtenir un accès initial aux environnements cibles sans générer d’avertissement.
Contrôle intelligent des applications (SAC) est une fonctionnalité de sécurité basée sur le cloud introduite par Microsoft dans Windows 11 pour empêcher l’exécution d’applications malveillantes, non fiables et potentiellement indésirables sur le système. Dans les cas où le service n’est pas en mesure de faire une prédiction sur l’application, il vérifie si elle est signée ou si elle possède une signature valide afin d’être exécutée.
SmartScreen, lancé en même temps que Windows 10, est une fonctionnalité de sécurité similaire qui détermine si un site ou une application téléchargée est potentiellement malveillante. Elle s’appuie également sur une approche basée sur la réputation pour la protection des URL et des applications.
« Microsoft Defender SmartScreen évalue les URL d’un site Web pour déterminer s’il est connu pour distribuer ou héberger du contenu dangereux », explique Redmond Remarques dans sa documentation.
« Il permet également de vérifier la réputation des applications, en vérifiant les programmes téléchargés et la signature numérique utilisée pour signer un fichier. Si une URL, un fichier, une application ou un certificat a une réputation établie, les utilisateurs ne voient aucun avertissement. S’il n’y a pas de réputation, l’élément est marqué comme présentant un risque plus élevé et présente un avertissement à l’utilisateur. »
Il convient également de mentionner que lorsque SAC est activé, il remplace et désactive Defender SmartScreen.
« Smart App Control et SmartScreen présentent un certain nombre de faiblesses de conception fondamentales qui peuvent permettre un accès initial sans avertissements de sécurité et avec une interaction utilisateur minimale », a déclaré Elastic Security Labsdit dans un rapport partagé avec The Hacker News.
L’un des moyens les plus simples de contourner ces protections est de faire signer l’application avec un certificat Extended Validation (EV) légitime, une technique déjà exploitée par des acteurs malveillants pour diffuser des logiciels malveillants, comme cela a récemment été démontré dans le cas de HotPage.
Certaines des autres méthodes qui peuvent être utilisées pour éviter la détection sont répertoriées ci-dessous :
- Détournement de réputation, qui consiste à identifier et à réutiliser des applications ayant une bonne réputation pour contourner le système (par exemple, JamPlus ou un interpréteur AutoHotkey connu)
- L’ensemencement de réputation, qui consiste à utiliser un binaire apparemment inoffensif contrôlé par un attaquant pour déclencher le comportement malveillant en raison d’une vulnérabilité dans une application, ou après l’écoulement d’un certain temps.
- Falsification de la réputation, qui consiste à modifier certaines sections d’un binaire légitime (par exemple, une calculatrice) pour injecter du shellcode sans perdre sa réputation globale
- LNK Stomping, qui consiste à exploiter un bug dans la façon dont les fichiers de raccourcis Windows (LNK) sont gérés pour supprimer la balise de marque du Web (MotW) et contourner les protections SAC du fait que SAC bloque les fichiers avec l’étiquette.
« Il s’agit de créer des fichiers LNK qui ont des chemins cibles ou des structures internes non standard », ont expliqué les chercheurs. « Lorsqu’on clique dessus, ces fichiers LNK sont modifiés par explorer.exe avec le formatage canonique. Cette modification entraîne la suppression de l’étiquette MotW avant que les contrôles de sécurité ne soient effectués. »
« Les systèmes de protection basés sur la réputation constituent une couche puissante pour bloquer les malwares courants », a déclaré la société. « Cependant, comme toute technique de protection, ils présentent des faiblesses qui peuvent être contournées avec un peu de prudence. Les équipes de sécurité doivent examiner attentivement les téléchargements dans leur pile de détection et ne pas s’appuyer uniquement sur les fonctionnalités de sécurité natives du système d’exploitation pour se protéger dans ce domaine. »