Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αποκαλύψει ελαττώματα σχεδιασμού στο Windows Smart App Control και στο SmartScreen της Microsoft που θα μπορούσαν να επιτρέψουν στους παράγοντες απειλών να αποκτήσουν αρχική πρόσβαση σε περιβάλλοντα στόχους χωρίς να προειδοποιούν.
Δείτε επίσης: ZKTeco: Βρέθηκε ευάλωτο σε 24 κρίσιμα ελαττώματα ασφαλείας
Ο Έξυπνος Έλεγχος Εφαρμογών (SAC) είναι μια λειτουργία ασφαλείας που τροφοδοτείται από το cloud, που εισήχθη από τη Microsoft στα Windows 11 για να εμποδίσει την εκτέλεση κακόβουλων, μη αξιόπιστων και δυνητικά ανεπιθύμητων εφαρμογών στο σύστημα. Σε περιπτώσεις όπου η υπηρεσία δεν μπορεί να κάνει μια πρόβλεψη για την εφαρμογή, ελέγχει εάν είναι υπογεγραμμένη ή έχει έγκυρη υπογραφή ώστε να εκτελεστεί.
Το SmartScreen, το οποίο κυκλοφόρησε μαζί με τα Windows 10, είναι μια παρόμοια δυνατότητα ασφαλείας που καθορίζει εάν ένας ιστότοπος ή μια εφαρμογή λήψης είναι δυνητικά κακόβουλη. Αξιοποιεί επίσης μια προσέγγιση βασισμένη στη φήμη για προστασία URL και εφαρμογών.
“Το Microsoft Defender SmartScreen αξιολογεί τις διευθύνσεις URL ενός ιστότοπου για να προσδιορίσει εάν είναι γνωστό ότι διανέμουν ή φιλοξενούν μη ασφαλές περιεχόμενο“, σημειώνει η εταιρεία στην τεκμηρίωσή της σχετικά με τα ελαττώματα.
Αξίζει επίσης να αναφέρουμε ότι όταν το SAC είναι ενεργοποιημένο, αντικαθιστά και απενεργοποιεί το Defender SmartScreen.
Δείτε ακόμα: Ελαττώματα του Netgear WNR614 επιτρέπουν την ανάληψη της συσκευής
Ένας από τους ευκολότερους τρόπους για να παρακάμψετε αυτές τις προστασίες είναι να υπογράψετε την εφαρμογή με ένα νόμιμο πιστοποιητικό Extended Validation (EV), μια τεχνική που χρησιμοποιείται ήδη από κακόβουλους παράγοντες για τη διανομή κακόβουλου λογισμικού, όπως αποδείχθηκε πρόσφατα στην περίπτωση του HotPage.
Μερικές από τις άλλες μεθόδους που μπορούν να χρησιμοποιηθούν για τον εντοπισμό διαφυγής παρατίθενται παρακάτω:
Το Reputation Hijacking, που περιλαμβάνει τον εντοπισμό και τον επαναπροσδιορισμό εφαρμογών με καλή φήμη για παράκαμψη του συστήματος (π.χ. JamPlus ή γνωστός διερμηνέας AutoHotkey)
Το Reputation Seeding, το οποίο περιλαμβάνει τη χρήση ενός φαινομενικά αβλαβούς δυαδικού αρχείου ελεγχόμενου από τον εισβολέα για την ενεργοποίηση της κακόβουλης συμπεριφοράς λόγω ευπάθειας σε μια εφαρμογή ή μετά την πάροδο συγκεκριμένου χρόνου.
Η Παραβίαση φήμης, η οποία περιλαμβάνει την τροποποίηση ορισμένων τμημάτων ενός νόμιμου δυαδικού αρχείου (π.χ. αριθμομηχανή) για την εισαγωγή κώδικα κελύφους χωρίς να χάσει τη συνολική του φήμη.
Το LNK Stomping, το οποίο περιλαμβάνει την εκμετάλλευση ενός σφάλματος στον τρόπο με τον οποίο χειρίζονται τα αρχεία συντόμευσης των Windows (LNK) για να αφαιρέσετε την ετικέτα σήμανσης του ιστού (MotW) και να παρακάμψετε τις προστασίες SAC λόγω του γεγονότος ότι το SAC αποκλείει τα αρχεία με την ετικέτα.
Δείτε επίσης: Ελαττώματα ThinkPHP εκμεταλλεύονται και εγκαθιστούν «Dama» web shells
Τα ελαττώματα ασφαλείας είναι αδυναμίες ή κενά που υπάρχουν σε ένα σύστημα ή πρόγραμμα, όπως στην περίπτωση των Windows Smart App Control και SmartScreen, τα οποία μπορούν να εκμεταλλευτούν κακόβουλοι χρήστες για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες ή να προκαλέσουν βλάβη. Αυτά τα ελαττώματα μπορεί να προέρχονται από εσφαλμένο σχεδιασμό, κώδικα που δεν έχει δοκιμαστεί επαρκώς ή από παραλείψεις στη διαδικασία ενημέρωσης και συντήρησης του λογισμικού. Η κατανόηση και η ανίχνευση αυτών των ελαττωμάτων είναι κρίσιμη για τη διασφάλιση της ασφάλειας ενός συστήματος και την προστασία από επιθέσεις.
Πηγή: thehackernews
