Специалисты по информационной безопасности выявили критическую уязвимость в системах защиты Windows Smart App Control и SmartScreen, которая позволяет злоумышленникам обходить механизмы безопасности операционной системы. Эта брешь, как выяснилось, активно эксплуатируется хакерами уже на протяжении как минимум пяти лет, начиная с 2018 года.
Механизмы защиты Windows и их уязвимость
Windows Smart App Control и SmartScreen — это встроенные функции безопасности операционной системы Microsoft, предназначенные для защиты пользователей от потенциально вредоносного программного обеспечения. Smart App Control, представленный в Windows 11, использует облачные сервисы Microsoft для оценки безопасности приложений и проверки целостности кода. SmartScreen, его предшественник, появившийся еще в Windows 8, выполняет аналогичные функции.
Обе системы активируются при попытке пользователя открыть файлы, помеченные специальным атрибутом Mark of the Web (MotW). Этот атрибут присваивается файлам, загруженным из интернета или полученным по электронной почте, сигнализируя о потенциальной опасности.
LNK stomping: техника обхода защиты
Исследователи из Elastic Security Labs обнаружили, что уязвимость, получившая название «LNK stomping», позволяет обойти защитные механизмы Smart App Control и SmartScreen. Эта техника эксплуатирует особенности обработки Windows LNK-файлов (ярлыков) с нестандартными целевыми путями или внутренней структурой.
При взаимодействии пользователя с таким модифицированным LNK-файлом, процесс explorer.exe автоматически корректирует его структуру. Однако в ходе этой операции происходит удаление атрибута Mark of the Web для связанных файлов, что отключает проверки безопасности и позволяет запустить потенциально вредоносное ПО без предупреждений.
Методы эксплуатации уязвимости
Для успешной эксплуатации уязвимости достаточно внести минимальные изменения в структуру LNK-файла, например:
- Добавить точку или пробел после расширения исполняемого файла (например, «powershell.exe.»)
- Использовать относительный путь в LNK-файле (например, «.\target.exe»)
Эти, казалось бы, незначительные модификации позволяют обойти системы безопасности Windows, открывая путь для выполнения вредоносного кода без уведомления пользователя.
Масштаб проблемы и реакция Microsoft
Анализ базы данных VirusTotal показал наличие множества образцов вредоносного ПО, использующих данную уязвимость. Самый ранний из обнаруженных экземпляров датируется 2018 годом, что свидетельствует о длительном периоде эксплуатации этой бреши в безопасности.
Исследователи уже проинформировали Microsoft Security Response Center о своих находках. Представители компании заверили, что проблема будет устранена в одном из ближайших обновлений Windows. Однако конкретные сроки выпуска патча пока не называются, что оставляет пользователей уязвимыми перед лицом потенциальных атак.
В свете выявленной уязвимости пользователям Windows рекомендуется проявлять повышенную бдительность при работе с файлами, полученными из непроверенных источников. Регулярное обновление операционной системы и использование дополнительных средств защиты, таких как антивирусное ПО, поможет минимизировать риски, связанные с эксплуатацией данной и подобных уязвимостей. Специалистам по информационной безопасности следует внимательно следить за обновлениями от Microsoft и быть готовыми к оперативному применению патча, как только он станет доступен.
