Cybersecurityonderzoekers hebben ontwerpfouten ontdekt in Microsoft Windows Smart App Control en SmartScreen, waardoor kwaadwillenden mogelijk toegang kunnen krijgen tot doelomgevingen zonder dat er waarschuwingen worden afgegeven.
Smart App Control (SAC) is een cloud-aangedreven beveiligingsfunctie die door Microsoft in Windows 11 is geïntroduceerd om te voorkomen dat schadelijke, niet-vertrouwde en mogelijk ongewenste apps op het systeem worden uitgevoerd. In gevallen waarin de service geen voorspelling over de app kan doen, controleert deze of deze is ondertekend of een geldige handtekening heeft om te worden uitgevoerd.
SmartScreen, dat tegelijk met Windows 10 werd uitgebracht, is een vergelijkbare beveiligingsfunctie die bepaalt of een site of een gedownloade app mogelijk schadelijk is. Het maakt ook gebruik van een reputatiegebaseerde aanpak voor URL- en app-beveiliging.
“Microsoft Defender SmartScreen evalueert de URL’s van een website om te bepalen of deze bekendstaan om het verspreiden of hosten van onveilige inhoud”, aldus Redmond in de documentatie.
“Het biedt ook reputatiecontroles voor apps, waarbij gedownloade programma’s en de digitale handtekening die wordt gebruikt om een bestand te ondertekenen, worden gecontroleerd. Als een URL, een bestand, een app of een certificaat een gevestigde reputatie heeft, zien gebruikers geen waarschuwingen. Als er geen reputatie is, wordt het item gemarkeerd als een hoger risico en geeft het een waarschuwing aan de gebruiker.”
Het is ook de moeite waard om te vermelden dat wanneer SAC is ingeschakeld, het Defender SmartScreen vervangt en uitschakelt.
“Smart App Control en SmartScreen hebben een aantal fundamentele ontwerpzwakheden die ervoor kunnen zorgen dat gebruikers in eerste instantie toegang krijgen zonder beveiligingswaarschuwingen en met minimale gebruikersinteractie”, aldus Elastic Security Labs in een rapport dat is gedeeld met The Hacker News.
Een van de eenvoudigste manieren om deze beveiliging te omzeilen, is door de app te laten ondertekenen met een legitiem Extended Validation (EV)-certificaat. Deze techniek wordt al vaker misbruikt door kwaadwillenden om malware te verspreiden, zoals onlangs bleek in het geval van HotPage.
Hieronder staan enkele andere methoden die kunnen worden gebruikt om detectie te ontwijken:
- Reputatiekaping, waarbij apps met een goede reputatie worden geïdentificeerd en hergebruikt om het systeem te omzeilen (bijvoorbeeld JamPlus of een bekende AutoHotkey-interpreter)
- Reputatieseeding, waarbij een ogenschijnlijk onschuldig binair bestand, beheerd door een aanvaller, wordt gebruikt om schadelijk gedrag te activeren vanwege een kwetsbaarheid in een applicatie of nadat een bepaalde tijd is verstreken.
- Reputatiemanipulatie, waarbij bepaalde delen van een legitiem binair bestand (bijvoorbeeld een rekenmachine) worden gewijzigd om shellcode te injecteren zonder de algehele reputatie te verliezen
- LNK Stomping, waarbij gebruik wordt gemaakt van een bug in de manier waarop Windows-snelkoppelingsbestanden (LNK) worden verwerkt om de mark-of-the-web (MotW)-tag te verwijderen en de SAC-beveiliging te omzeilen, doordat SAC bestanden met dit label blokkeert.
“Het gaat om het maken van LNK-bestanden met niet-standaard doelpaden of interne structuren”, aldus de onderzoekers. “Wanneer erop wordt geklikt, worden deze LNK-bestanden door explorer.exe aangepast met de canonieke opmaak. Deze aanpassing leidt tot verwijdering van het MotW-label voordat beveiligingscontroles worden uitgevoerd.”
“Reputatiegebaseerde beschermingssystemen zijn een krachtige laag voor het blokkeren van standaardmalware”, aldus het bedrijf. “Maar zoals elke beschermingstechniek hebben ze zwakheden die met enige zorg omzeild kunnen worden. Beveiligingsteams moeten downloads zorgvuldig onderzoeken in hun detectiestack en niet alleen vertrouwen op OS-native beveiligingsfuncties voor bescherming op dit gebied.”