Los investigadores de ciberseguridad han descubierto debilidades de diseño en Windows Smart App Control y SmartScreen de Microsoft que podrían permitir a actores maliciosos obtener acceso inicial a los entornos de destino sin generar una advertencia.
Control de aplicaciones inteligentes (BOLSO) es una característica de seguridad basada en la nube introducida por Microsoft en Windows 11 para evitar que se ejecuten en el sistema aplicaciones maliciosas, no confiables y potencialmente no deseadas. En los casos en que el servicio no puede hacer una predicción sobre la aplicación, verifica si está firmada o tiene una firma válida para poder ejecutarse.
SmartScreen, lanzado junto con Windows 10, es una característica de seguridad similar que determina si un sitio o una aplicación descargada es potencialmente malicioso. También aprovecha un enfoque basado en la reputación para la protección de aplicaciones y URL.
«Microsoft Defender SmartScreen evalúa las URL de un sitio web para determinar si se sabe que distribuye o aloja contenido peligroso», dijo Redmond. Observaciones en su documentación.
“También permite comprobar la reputación de las aplicaciones, verificando los programas descargados y la firma digital utilizada para firmar un archivo. Si una URL, un archivo, una aplicación o un certificado tiene una reputación establecida, los usuarios no ven ninguna advertencia. Si no hay reputación, el artículo se marca como de mayor riesgo y presenta una advertencia al usuario. »
También vale la pena mencionar que cuando SAC está habilitado, anula y deshabilita Defender SmartScreen.
«Smart App Control y SmartScreen tienen una serie de debilidades de diseño fundamentales que pueden permitir el acceso inicial sin advertencias de seguridad y una interacción mínima del usuario», Elastic Security Labs dicho en un informe compartido con The Hacker News.
Una de las formas más sencillas de eludir estas protecciones es firmar la aplicación con un certificado de Validación Extendida (EV) legítimo, una técnica que ya utilizan actores maliciosos para distribuir malware, como se demostró recientemente en el caso de HotPage.
Algunos de los otros métodos que se pueden utilizar para evitar la detección se enumeran a continuación:
- Secuestro de reputación, que implica identificar y reutilizar aplicaciones con buena reputación para eludir el sistema (p. ej. JamPlus o un intérprete conocido de AutoHotkey)
- Semilla de reputación, que implica el uso de un binario aparentemente inofensivo controlado por un atacante para desencadenar un comportamiento malicioso debido a una vulnerabilidad en una aplicación, o después de que haya pasado un cierto período de tiempo.
- Manipulación de la reputación, que implica modificar ciertas secciones de un binario legítimo (por ejemplo, una calculadora) para inyectar código shell sin perder su reputación general.
- LNK Stomping, que implica explotar un error en la forma en que se manejan los archivos de acceso directo de Windows (LNK) para eliminar la etiqueta web de marca (MotW) y evitar las protecciones de SAC porque SAC bloquea los archivos con la etiqueta.
«Esto implica la creación de archivos LNK que tienen rutas de destino o estructuras internas no estándar», explicaron los investigadores. “Al hacer clic, explorer.exe modifica estos archivos LNK con formato canónico. Este cambio da como resultado que la etiqueta MotW se elimine antes de que se realicen los controles de seguridad. »
«Los sistemas de protección basados en la reputación proporcionan una capa poderosa para bloquear el malware común», dijo la compañía. “Sin embargo, como cualquier técnica de protección, tienen debilidades que pueden sortearse con un poco de precaución. Los equipos de seguridad deben revisar cuidadosamente las descargas en su pila de detección y no depender únicamente de las funciones de seguridad nativas del sistema operativo para proteger esta área. »
