CVE-2024-38217: почему 0day в Windows не могли обнаружить целых 6 лет?
Elastic Security Labs раскрыла подробности атаки «LNK Stomping».
Компания Microsoft в рамках своего недавнего обновления Patch Tuesday, о котором мы уже опубликовали отдельный материал, исправила Zero-day уязвимость в функциях Windows Smart App Control и SmartScreen, которая использовалась злоумышленниками на протяжении последних шести лет. Поговорим же об этом недостатке безопасности подробнее.
Известная как CVE-2024-38217, уязвимость позволяла обходить защитные механизмы Smart App Control и пометку файлов «Mark of the Web» (MotW), что давало возможность запускать недоверенные или потенциально опасные приложения без предупреждений системы безопасности.
Как объяснили в Microsoft, для успешной эксплуатации бреши злоумышленнику достаточно было разместить специальный файл на подконтрольном сервере и убедить пользователя загрузить и открыть его. Это позволяло вмешаться в работу механизма MotW, который отвечает за проверку загружаемых файлов.
Уязвимость особенно опасна, потому что злоумышленники могут создавать вредоносные файлы, которые обходят защиту MotW, что ведёт к нарушению целостности и доступности защитных функций, таких как проверка репутации приложений SmartScreen или запросы службы Windows Attachment Services.
Smart App Control в Windows 11 использует облачные сервисы Microsoft и механизмы контроля целостности для блокировки потенциально вредоносных приложений. Если эта функция отключена, SmartScreen автоматически берёт на себя защиту от опасного контента. Оба механизма безопасности активируются при попытке открыть файл, помеченный меткой MotW.
В августе компания Elastic Security Labs уже успела раскрыть некоторые подробности об уязвимости CVE-2024-38217, связанные с обработкой файлов LNK. Атака, известная как «LNK Stomping», позволяет обойти защиту Smart App Control, которая в обычных условиях блокирует запуск недоверенных приложений.
Сам метод LNK Stomping заключается в создании файлов с некорректными путями или структурами. При открытии такого файла проводник Windows (explorer.exe) автоматически изменяет его форматирование, что удаляет метку MotW и позволяет файлу пройти проверку безопасности. Злоумышленники могут добавить пробел или точку в путь к исполняемому файлу (например, «powershell.exe»), что позволяет обойти защитные механизмы и запустить файл без предупреждения.
Именно специалисты Elastic обнаружили, что уязвимость эксплуатировалась как минимум с 2018 года. Так, несколько примеров вредоносных файлов, использующих данный механизм атаки и найденных в архивах VirusTotal, датируются как раз этим временем. Тем временем, Microsoft признала проблему и подтвердила, что уязвимость была устранена в последнем обновлении системы.
Таким образом, даже проверенные механизмы защиты в крупных продуктах могут оставаться уязвимыми на протяжении долгого времени, несмотря на все бюджеты и высокие стандарты безопасности. Хакерам не нужно особого предложения, чтобы воспользоваться заманчивой брешью, а значит пользователям никогда не стоит расслабляться и отключать бдительность.