Експерти з кібербезпеки виявили серйозну вразливість у системах захисту Windows Smart App Control та SmartScreen, яка дозволяє зловмисникам обходити механізми безпеки операційної системи. Найтривожніше те, що ця вразливість активно експлуатується хакерами щонайменше з 2018 року, створюючи значні ризики для користувачів Windows.
Що таке Smart App Control та SmartScreen?
Smart App Control – це функція безпеки Windows 11, яка використовує хмарні сервіси Microsoft для оцінки репутації додатків та перевірки цілісності їх коду. Її мета – виявляти та блокувати потенційно небезпечні або неперевірені програми. У попередніх версіях Windows аналогічну роль виконує SmartScreen. Обидві системи активуються при спробі відкрити файли з позначкою Mark of the Web (MotW), яка вказує на завантаження з інтернету.
Суть вразливості: техніка LNK stomping
Дослідники з Elastic Security Labs виявили, що вразливість пов’язана з обробкою LNK-файлів (ярликів Windows). Техніка, названа “LNK stomping”, дозволяє створювати спеціально сформовані ярлики, які при відкритті користувачем автоматично модифікуються системою. Ключовий момент: при цьому видаляється позначка MotW, що призводить до відключення перевірок безпеки.
Як працює LNK stomping?
Зловмисники можуть створити LNK-файл з нестандартним цільовим шляхом, наприклад, додавши крапку чи пробіл після розширення (powershell.exe.) або використавши відносний шлях (.\target.exe). Коли користувач відкриває такий файл, Windows автоматично “виправляє” його структуру, але при цьому видаляє критично важливу для безпеки позначку MotW.
Масштаби проблеми та наслідки
Аналіз, проведений експертами, показав, що ця вразливість активно використовується кіберзлочинцями вже кілька років. У базі даних VirusTotal виявлено численні зразки шкідливого ПЗ, що експлуатують цю техніку, причому найстаріші датуються 2018 роком. Це означає, що протягом п’яти років користувачі Windows були під загрозою, навіть не підозрюючи про це.
Реакція Microsoft
Дослідники повідомили про свої знахідки в Microsoft Security Response Center. Компанія підтвердила наявність проблеми та заявила, що працює над її усуненням. Очікується, що виправлення буде включено в одне з майбутніх оновлень Windows. Однак конкретні терміни поки не названі.
Ця ситуація підкреслює важливість постійної пильності в питаннях кібербезпеки. Користувачам Windows рекомендується регулярно оновлювати свої системи, використовувати додаткові засоби захисту та з обережністю ставитися до файлів, отриманих з ненадійних джерел. Лише комплексний підхід до безпеки може забезпечити надійний захист від постійно еволюціонуючих кіберзагроз.
