Η Microsoft έχει επιδιορθώσει ένα ελάττωμα στα Windows Smart App Control και SmartScreen, που έχει χρησιμοποιηθεί ως zero-day σε επιθέσεις, τουλάχιστον από το 2018.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το rootkit FudModule μέσω Chrome zero-day
Σε ευάλωτα συστήματα, οι φορείς απειλών έκαναν κατάχρηση του zero-day (CVE-2024-38217) για να παρακάμψουν τη λειτουργία ασφαλείας Smart App Control και το Mark of the Web (MotW). για την εκκίνηση μη αξιόπιστων ή δυνητικά επικίνδυνων δυαδικών αρχείων και εφαρμογών χωρίς προειδοποιήσεις.
“Για να εκμεταλλευτεί αυτή την ευπάθεια, ένας εισβολέας θα μπορούσε να φιλοξενήσει ένα αρχείο σε έναν διακομιστή που ελέγχεται από τον εισβολέα και στη συνέχεια να πείσει έναν στοχευμένο χρήστη να κατεβάσει και να ανοίξει το αρχείο. Αυτό θα μπορούσε να επιτρέψει στον εισβολέα να παρέμβει στη λειτουργικότητα του Mark of the Web“, εξήγησε η Microsoft σε μια συμβουλή ασφαλείας που δημοσίευσε πρόσφατα.
Το Smart App Control στα Windows 11 χρησιμοποιεί τα app intelligence services της Microsoft και τις λειτουργίες code integrity, για τον εντοπισμό και τον αποκλεισμό δυνητικά επιβλαβών εφαρμογών ή δυαδικών αρχείων.
Δείτε ακόμα: Χάκερς εκμεταλλεύονται zero-day ευπάθεια για να στοχεύσουν παρόχους υπηρεσιών διαδικτύου στις ΗΠΑ
Το Smart App Control αντικαθιστά το SmartScreen στα Windows 11. Ωστόσο, το SmartScreen θα αναλάβει αυτόματα εάν δεν είναι ενεργοποιημένο το Smart App Control για προστασία από κακόβουλο περιεχόμενο. Και οι δύο λειτουργίες ασφαλείας ενεργοποιούνται όταν οι χρήστες προσπαθούν να ανοίξουν αρχεία που φέρουν την ετικέτα “Mark of the Web“.
Τον περασμένο μήνα, η Elastic Security Labs αποκάλυψε το CVE-2024-38217 ως ελάττωμα στο χειρισμό αρχείων LNK, γνωστό ως LNK stomping. Αυτό το zero-day επιτρέπει στους εισβολείς να παρακάμπτουν τις λειτουργίες ασφαλείας Smart App Control που διαφορετικά εμποδίζουν την εκκίνηση μη αξιόπιστων εφαρμογών.
Το LNK stomping περιλαμβάνει τη δημιουργία αρχείων LNK με μη συμβατικές διαδρομές στόχου ή εσωτερικές δομές. Όταν ένας χρήστης κάνει κλικ σε ένα από αυτά τα αρχεία, το Windows Explorer (explorer.exe) προσαρμόζει αυτόματα το αρχείο LNK, ώστε να χρησιμοποιεί την κανονική του μορφοποίηση. Ωστόσο, αυτή η διαδικασία αφαιρεί επίσης την ετικέτα “Mark of the Web” (MotW) από τα ληφθέντα αρχεία, έναν δείκτη που χρησιμοποιούν οι λειτουργίες ασφαλείας των Windows για να ενεργοποιήσουν έναν αυτοματοποιημένο έλεγχο ασφαλείας.
Δείτε επίσης: Google Chrome: Διορθώθηκε το δέκατο zero-day bug για φέτος
Μία ευπάθεια zero-day, όπως αυτή του Smart App Control, αναφέρεται σε ένα ελάττωμα ασφάλειας λογισμικού που είναι άγνωστο στον προμηθευτή και παραμένει χωρίς επιδιόρθωση, επιτρέποντας στους εισβολείς να το εκμεταλλευτούν προτού ο προγραμματιστής έχει την ευκαιρία να εκδώσει μια επιδιόρθωση. Ο όρος “zero-day” υποδηλώνει ότι υπάρχουν μηδέν ημέρες προστασίας έναντι τέτοιων τρωτών σημείων, καθώς ανακαλύπτονται και εκμεταλλεύονται οι εισβολείς σε πραγματικό χρόνο. Αυτά τα ελαττώματα μπορεί να είναι απίστευτα επικίνδυνα, καθώς συχνά οδηγούν σε σημαντικές παραβιάσεις της ασφάλειας, κλοπή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού. Οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και να εφαρμόσουν ισχυρά μέτρα ασφαλείας για να προστατεύσουν τα συστήματά τους από πιθανές εκμεταλλεύσεις zero-day.
Πηγή: bleepingcomputer
