Windows智能应用程式控制与SmartScreen存在漏洞,可被攻击者轻易绕过
支付動態 · 2024-08-07

Windows的智能应用程式控制和SmartScreen筛选工具,被资安人员发现存在弱点,攻击者可借此绕过安全防护,获得初步的存取权限

Elastic安全研究实验室发现,Windows的智能应用程式控制(Smart App Control,SAC)和SmartScreen筛选工具存在弱点,可能让攻击者可以不触发任何安全警告或是弹出窗口的情况下,获得初步的存取权限。

SmartScreen是微软在Windows 8内置的操作系统功能,用于检查具有网页标记MotW(Mark of the Web)的文件,预防网络钓鱼和恶意代码攻击。而微软在Windows 11进一步引入智能应用程式控制功能,以阻挡恶意和不受信任的应用程序。

智能应用程式控制是较SmartScreen更为进阶的防护机制,当应用程序运行时会查找微软云端服务上的数据,确认其安全性才允许运行,当智能应用程式控制不知道应用程序是否安全,便只有具有效代码签章才会被允许运行。在激活智能应用程式控制时,SmartScreen会取代并停用。

研究人员发现了使用代码凭证来签署恶意软件,绕过智能应用程式控制的方法。而且在智能应用程式控制功能出现之前,攻击者就已经使用这种方法来回避侦测,最近攻击者甚至还取得扩充验证(Extend Validation,EV)来签署应用程序。

由于扩充验证凭证需要经过身分认证,而且只能存储在专门设计的硬件设备上,因此要盗用这些凭证并不容易,但是攻击者找到可以冒充企业来购买这些凭证的漏洞,研究人员指出,恶意软件SolarMarker背后的恶意组织,在攻击中使用了超过100个不同的签章凭证。

研究人员公开了三种针对基于声誉的恶意软件保护系统的攻击方法,第一是利用良好声誉的应用程序来绕过安全系统,第二则是将受控制的二进位文件插入系统中,乍看之下无害,但实际却可以运行恶意行为,这些二进位文件在初期获得良好声誉,使其能够规避侦测,在适当时机发动攻击。第三种则是窜改文件内容,攻击者利用部分修改并不会影响文件声誉的漏洞,进行恶意操作。

另外,资安人员还发现一种称为LNK Stomping的攻击手法,攻击者可以利用Windows捷径文件进行攻击。LNK Stomping是通过修改.lnk文件的目标路径或结构,让系统在进行安全检查之前移除MotW标签,进而绕过SmartScreen和智能应用程式控制的检查。

智能应用程式控制和SmartScreen都存在一些根本的设计缺陷,允许攻击者在没有安全警告,且与用户交互极少的情况下,获得初步存取权限,研究人员提醒企业安全团队还是要仔细检查下载的内容,不要完全仰赖操作系统原生的安全功能。

热门文章
BETFAIR 网络攻击80万用户资料泄露
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
首页
游戏
合作
发现
我的