Złośliwi aktorzy wykorzystują lukę w sposobie, w jaki system Windows przetwarza pliki LNK z niestandardowymi ścieżkami docelowymi i wewnętrznymi strukturami, aby obejść wbudowane zabezpieczenia i nakłonić użytkowników do uruchomienia złośliwego oprogramowania.
Podobnie jak w przypadku ostatnio opisywanej przez nas luki BITSLOTH, tak i teraz odkrycia dokonali badacze z Elastic Security Labs. Na swoim blogu piszą, iż zidentyfikowali wiele próbek w VirusTotal, które korzystają z tego błędu, co dowodzi, iż jest on aktywnie wykorzystywany. Najstarsza znaleziona próbka została przesłana ponad 6 lat temu.
Mechanizmy Windows do ochrony przed złośliwymi plikami pobieranymi z Internetu
Zanim przejdziemy do opisu obejścia bezpieczeństwa, warto wspomnieć, jakie wbudowane mechanizmy ochrony przed złośliwymi plikami pobieranymi z Internetu posiada system Windows.
Funkcja SmartScreen
SmartScreen to starsza funkcja ochrony, której celem jest zabezpieczanie użytkowników systemu Windows przed potencjalnie złośliwymi stronami internetowymi i plikami pobieranymi z sieci.
Strony te są sprawdzane na podstawie dynamicznej listy zgłoszonych witryn phishingowych oraz zawierających złośliwe oprogramowanie. Z kolei pliki pobrane z Internetu są oznaczane metadanymi Mark of the Web (MotW) i weryfikowane przez SmartScreen na podstawie listy dozwolonych znanych plików wykonywalnych. jeżeli plik nie znajduje się na tej liście, SmartScreen blokuje jego uruchomienie i wyświetla ostrzeżenie. Użytkownicy mogą je jednak zignorować, o ile administratorzy przedsiębiorstwa nie ustawili odpowiednich restrykcji.
Przypominamy, iż Mark-of-the-Web (MotW) jest często wykorzystana przez cyberprzestępców do dostarczania złośliwego oprogramowania.
Windows dodaje MotW do plików pochodzących z niezaufanych lokalizacji, w tym tych do pobrania z przeglądarki oraz załączników do wiadomości e-mail. Podczas próby otwarcia plików dzięki MotW użytkownicy są ostrzegani o potencjalnym ryzyku lub, w przypadku pakietu Office, makra są blokowane, aby zapobiec wykonaniu złośliwego kodu.
Funkcja Smart App Control
Nowsza funkcja Smart App Control (SAC) podobnie sprawdza aplikacje, które użytkownicy chcą uruchomić, na liście znanych bezpiecznych aplikacji.
SAC działa poprzez przeszukiwanie chmury Microsoft podczas uruchamiania aplikacji. jeżeli aplikacja jest uznana za bezpieczną, może zostać uruchomiona. Jednak jeżeli jest nieznana, zostanie uruchomiona tylko wtedy, gdy ma prawidłowy podpis kodu. Po włączeniu SAC zastępuje i wyłącza Defender SmartScreen.
LNK stomping – omijanie MoTW
Atakujący omijają te zabezpieczenia, podpisując złośliwe oprogramowanie ważnymi certyfikatami podpisu kodu, wykorzystując aplikacje o dobrej reputacji lub sprawiając, iż binaria wyglądają na nieszkodliwe, dzięki czemu trafiają na listę znanych bezpiecznych aplikacji.
Najnowsza technika, nazwana przez badaczy „LNK stomping”, pozwala atakującym ominąć kontrolę Mark-of-the-Web poprzez tworzenie plików LNK (skrótów Windows) z niestandardowymi ścieżkami docelowymi lub strukturami wewnętrznymi.
Taki plik wymusza na systemie Windows „naprawienie” ścieżki/struktury, co skutkuje „przepisaniem” pliku i usunięciem metadanych MotW. W efekcie SmartScreen i SAC uznają plik za bezpieczny i uruchamiają go bez ostrzeżenia.
„Najprostszą demonstracją tego problemu jest dodanie kropki lub spacji do ścieżki docelowej pliku wykonywalnego (np. powershell.exe.). Alternatywnie można utworzyć plik LNK, który zawiera względną ścieżkę, taką jak .\target.exe,” – wyjaśnili badacze. „Inna wariacja polega na stworzeniu wielopoziomowej ścieżki w pojedynczym wpisie tablicy ścieżek docelowych LNK”.
Badacze ujawnili szczegóły błędu Microsoft Security Response Center, który najwyraźniej zapowiedział, iż może on zostać naprawiony w przyszłej aktualizacji systemu Windows.
Tymczasem badacze zalecają zespołom ds. bezpieczeństwa dokładne sprawdzanie pobrań w ich systemach detekcji i niepoleganie wyłącznie na natywnych funkcjach zabezpieczeń systemu operacyjnego w omawianej kwestii.