SAC и SmartScreen: благие намерения или реальная угроза?

Специалисты по кибербезопасности обнаружили серьезные недостатки в работе защитных механизмов Microsoft Windows — Smart App Control (SAC) и SmartScreen. Выявленные уязвимости позволяют злоумышленникам проникать в целевые системы без срабатывания предупреждений и с минимальным взаимодействием с пользователем.

SAC, представленный в Windows 11, — это облачная система безопасности, призванная блокировать запуск вредоносных и ненадежных приложений. В случаях, когда SAC не может сделать однозначный вывод о программе, она проверяет наличие действительной цифровой подписи.

SmartScreen, внедренный еще в Windows 10, выполняет аналогичную функцию, оценивая безопасность веб-сайтов и загружаемых файлов. Он анализирует репутацию URL-адресов и приложений, проверяя загруженные программы и их цифровые подписи. Если у URL, файла или приложения есть устоявшаяся репутация, пользователи не видят предупреждений, а отсутствие репутации приводит к маркировке объекта как потенциально опасного.

Стоит отметить, что при активации SAC происходит отключение Defender SmartScreen.

Исследователи из Elastic Security Labs выявили ряд фундаментальных недостатков в дизайне обеих систем, которые могут быть использованы для незаметного проникновения в систему.

Один из простейших способов обхода защиты — подписание вредоносного приложения действительным сертификатом расширенной проверки (EV). Эта техника уже активно применяется киберпреступниками, что недавно было продемонстрировано на примере вредоносной программы HotPage.

Эксперты выделили несколько других методов обхода защиты:

• Захват репутации — использование приложений с хорошей репутацией для обхода системы, например, JamPlus или известных интерпретаторов AutoHotkey.
• Посев репутации — применение внешне безобидного файла, контролируемого атакующим, который запускает вредоносный код при определенных условиях или по истечении заданного времени.
• Подмена репутации — модификация частей легитимного исполняемого файла для внедрения вредоносного кода без потери общей положительной репутации.
• LNK Stomping — эксплуатация уязвимости в обработке ярлыков Windows (LNK) для удаления метки безопасности и обхода защиты SAC. Этот метод включает создание LNK-файлов с нестандартными параметрами, которые при открытии модифицируются системой, что приводит к удалению метки безопасности до проведения проверок.

Особую озабоченность вызывает тот факт, что следы использования техники LNK Stomping были обнаружены еще в феврале 2018 года. Это свидетельствует о том, что злоумышленники знали об этом методе обхода защиты на протяжении нескольких лет.

Исследователи подчеркивают, что хотя системы защиты на основе репутации эффективны против массового вредоносного ПО, они имеют уязвимости, которые могут быть использованы опытными хакерами. Специалисты по безопасности рекомендуют не полагаться исключительно на встроенные функции защиты операционной системы и тщательно проверять все загружаемые файлы.