登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

Windows智能应用程式控制与SmartScreen存在漏洞,可被攻击者轻易绕过

分享

支付動態

2024-08-07

Windows的智能应用程式控制和SmartScreen筛选工具,被资安人员发现存在弱点,攻击者可借此绕过安全防护,获得初步的存取权限

Elastic安全研究实验室发现,Windows的智能应用程式控制(Smart App Control,SAC)和SmartScreen筛选工具存在弱点,可能让攻击者可以不触发任何安全警告或是弹出窗口的情况下,获得初步的存取权限。

SmartScreen是微软在Windows 8内置的操作系统功能,用于检查具有网页标记MotW(Mark of the Web)的文件,预防网络钓鱼和恶意代码攻击。而微软在Windows 11进一步引入智能应用程式控制功能,以阻挡恶意和不受信任的应用程序。

智能应用程式控制是较SmartScreen更为进阶的防护机制,当应用程序运行时会查找微软云端服务上的数据,确认其安全性才允许运行,当智能应用程式控制不知道应用程序是否安全,便只有具有效代码签章才会被允许运行。在激活智能应用程式控制时,SmartScreen会取代并停用。

研究人员发现了使用代码凭证来签署恶意软件,绕过智能应用程式控制的方法。而且在智能应用程式控制功能出现之前,攻击者就已经使用这种方法来回避侦测,最近攻击者甚至还取得扩充验证(Extend Validation,EV)来签署应用程序。

由于扩充验证凭证需要经过身分认证,而且只能存储在专门设计的硬件设备上,因此要盗用这些凭证并不容易,但是攻击者找到可以冒充企业来购买这些凭证的漏洞,研究人员指出,恶意软件SolarMarker背后的恶意组织,在攻击中使用了超过100个不同的签章凭证。

研究人员公开了三种针对基于声誉的恶意软件保护系统的攻击方法,第一是利用良好声誉的应用程序来绕过安全系统,第二则是将受控制的二进位文件插入系统中,乍看之下无害,但实际却可以运行恶意行为,这些二进位文件在初期获得良好声誉,使其能够规避侦测,在适当时机发动攻击。第三种则是窜改文件内容,攻击者利用部分修改并不会影响文件声誉的漏洞,进行恶意操作。

另外,资安人员还发现一种称为LNK Stomping的攻击手法,攻击者可以利用Windows捷径文件进行攻击。LNK Stomping是通过修改.lnk文件的目标路径或结构,让系统在进行安全检查之前移除MotW标签,进而绕过SmartScreen和智能应用程式控制的检查。

智能应用程式控制和SmartScreen都存在一些根本的设计缺陷,允许攻击者在没有安全警告,且与用户交互极少的情况下,获得初步存取权限,研究人员提醒企业安全团队还是要仔细检查下载的内容,不要完全仰赖操作系统原生的安全功能。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu