Windows Smart App Control: corretto zero-day sfruttato dal 2018

​Microsoft ha corretto un difetto di Windows Smart App Control e SmartScreen sfruttato negli attacchi come zero-day almeno dal 2018. Gli autori delle minacce hanno abusato della vulnerabilità (tracciata come CVE-2024-38217) per aggirare Smart App Control e la funzionalità di sicurezza Mark of the Web (MotW). Ciò per avviare file binari e app non attendibili o potenzialmente pericolosi senza avvisi. Come spiegato da Microsoft nel suo blog: "per sfruttare questa vulnerabilità, un aggressore potrebbe ospitare un file su un server controllato e convincere un utente preso di mira a scaricare e aprire il file. Ciò consentirà all'aggressore di interferire con la funzionalità Mark of the Web. Questo può anche creare un file dannoso che eluderebbe le difese MOTW. Ciò porta alla perdita limitata di integrità e disponibilità di funzionalità di sicurezza come il controllo di sicurezza SmartScreen Application Reputation e/o il prompt di sicurezza legacy di Windows Attachment Services."

Windows Smart App Control utilizza servizi di intelligence delle app e funzionalità di integrità del codice di Microsoft per rilevare e bloccare app o file binari potenzialmente dannosi. Di default sostituisce SmartScreen in Windows 11. Tuttavia, SmartScreen continuerà a subentrare automaticamente se Smart App Control non è abilitato per proteggere da contenuti dannosi. Entrambe le funzionalità di sicurezza vengono attivate quando gli utenti provano ad aprire file contrassegnati con un'etichetta "Mark of the Web".

Windows Smart App Control: come funziona il bug LNK stomping

​Il mese scorso, Elastic Security Labs ha rivelato CVE-2024-38217 come un difetto nella gestione dei file LNK, noto come LNK stomping. Questo difetto consente agli aggressori di aggirare le funzionalità di sicurezza di Smart App Control che altrimenti impediscono l'avvio di applicazioni non attendibili. LNK stomping comporta la creazione di file LNK con percorsi di destinazione non convenzionali o strutture interne. Quando un utente clicca su uno di questi file, Windows Explorer (explorer.exe) regola automaticamente il file LNK per utilizzare la sua formattazione canonica. Tuttavia, questo processo rimuove anche l'etichetta "Mark of the Web" (MotW) dai file scaricati. Si tratta di un marcatore che le funzionalità di sicurezza di Windows utilizzano per attivare un controllo di sicurezza automatico.

Per sfruttare questa falla, è possibile aggiungere un punto o uno spazio al percorso eseguibile di destinazione (ad esempio, aggiungendolo al nome binario come "powershell.exe"). In alternativa, gli aggressori possono creare un file LNK con un percorso relativo come ".\target.exe". Quando la vittima fa clic sul link, Windows Explorer identifica l'eseguibile corretto, aggiorna il percorso, rimuove l'etichetta MotW e avvia il file. In questo modo è possibile aggirare i controlli di sicurezza. Elastic Security Labs ha affermato che la vulnerabilità è stata sfruttata per anni. Infatti, sono stati trovati diversi campioni su VirusTotal, il più vecchio dei quali risale a oltre sei anni fa. L'azienda ha condiviso le sue scoperte con il Microsoft Security Response Center, che ha riconosciuto il problema e ha affermato che "potrebbe essere risolto in un futuro aggiornamento di Windows".