Una falla de diseño en Windows Smart App Control (SAC) y SmartScreen ha permitido a los atacantes ejecutar programas sin activar una advertencia de seguridad.
¿Cuál es la amenaza?
Se encontraron varios fallos de diseño en SAC y SmartScreen que permiten a los atacantes acceder a los entornos de las victimas sin advertencias. El mas notable es un método llamado LNK stomping. Los atacantes pueden crear archivos LNK con rutas de destino no estándar que, cuando la victima hace clic en la ruta, harán que “explorer.exe” modifique automáticamente el archivo LNK utilizando el formato correcto. Esto, por cierto, también elimina la marca de la Web (MOTW) que Windows usa para activar SAC y SmartScreen.
¿Por qué es de relevancia?
Microsoft introdujo SAC y SmartScreen para proteger los dispositivos Windows de la ejecución de aplicaciones maliciosas y no confiables en el sistema. Desde 2018, los atacantes han abusado de esta debilidad durante años.
¿Cuál es el riesgo?
Algunos de los métodos que los atacantes han utilizado para eludir SAC y SmartScan son los siguientes:
Signed Malware: los atacantes pueden crear una empresa y obtener un certificado de validación extendida (EV) para firmar su Malware, que elude por completo SAC y SmartScreen. También pueden hacerse pasar por empresas legitimas para robar certificados y firmar sus programas.
Secuestro de reputación: Técnica en la que se utilizan programas conocidos como buenos para cargar y ejecutar scripts maliciosos.
Difusión de reputación: Difundir en el sistema archivos binarios controlados por el atacante y darles tiempo suficiente para que SAC y SmartScreen confíen en ellos. Una vez que confía en ellos, dejarán de generar una bandera y podrán usarse para fines más maliciosos.
Alteración de reputación: modificación de un binario para incluir código malicioso. SAC asigna una reputación a los binarios y permite a los usuarios modificarlos ligeramente sin perder la confianza. Mediante prueba y error, los atacantes pueden modificar un binario para que contenga códigos maliciosos sin perder la reputación de confianza o benignidad con SAC.
Recomendaciones
Se recomienda realizar las siguientes acciones para minimizar sus riesgos:
Cree una lista de bloqueo de aplicaciones conocidas que se pueden usar para secuestrar la reputación, así como para ejecutar código.
Agregue detecciones de comportamiento para proporcionar un enfoque de seguridad más sólido. Las herramientas de detección y respuesta de endpoints de próxima generación.
Eduque a los usuarios para que presten especial atención a la sobreescritura de un archivo LNK por parte de “explorer.exe”
