研究人员发现 Windows 智能应用控制和 SmartScreen 中的漏洞

网络安全研究人员发现了 Microsoft 的 Windows Smart App Control 和 SmartScreen 中的设计弱点，这些弱点可能使威胁行为者能够在不发出任何警告的情况下获得目标环境的初始访问权限。

智能应用控制（SAC）是 Microsoft 在 Windows 11 中引入的一项云驱动的安全功能，用于阻止恶意、不受信任和可能不需要的应用在系统上运行。如果服务无法对应用进行预测，它会检查应用是否已签名或是否具有有效的签名，以便执行。

与 Windows 10 一起发布的 SmartScreen 是一种类似的安全功能，可确定网站或下载的应用程序是否具有潜在的恶意。它还利用基于声誉的方法进行 URL 和应用保护。

“Microsoft Defender SmartScreen 评估网站的 URL，以确定它们是否已知分发或托管不安全的内容，”Redmond 在其文档中指出。

“它还为应用程序提供声誉检查，检查下载的程序以及用于签署文件的数字签名。如果 URL、文件、应用或证书已建立信誉，则用户不会看到任何警告。如果没有声誉，则该项目将被标记为风险较高，并向用户发出警告。”

还值得一提的是，当启用 SAC 时，它会替换和禁用 Defender SmartScreen。

Elastic Security Labs 在与 The Hacker News 分享的一份报告中表示：“Smart App Control 和 SmartScreen 存在许多基本的设计弱点，这些弱点允许在没有安全警告和最少用户交互的情况下进行初始访问。

绕过这些保护的最简单方法之一是使用合法的扩展验证（EV）证书对应用程序进行签名，恶意行为者已经利用这种技术来分发恶意软件，正如最近在 HotPage 中所证明的那样。

下面列出了一些可用于检测规避的其他方法：

Reputation Hijacking，涉及识别和重新利用具有良好声誉的应用程序以绕过系统（例如，JamPlus 或已知的 AutoHotkey 解释器）
Reputation Seeding，涉及使用看似无害的攻击者控制的二进制文件来触发由于应用程序中的漏洞而导致的恶意行为，或者在经过一定时间后触发恶意行为。
Reputation Tampering，涉及更改合法二进制文件（例如计算器）的某些部分以注入 shellcode，而不会失去其整体声誉
LNK Stomping，涉及利用 Windows 快捷方式（LNK）文件处理方式中的错误来删除 Web 标记（MotW）标签并绕过 SAC 保护，因为 SAC 会阻止带有标签的文件。

“它涉及制作具有非标准目标路径或内部结构的LNK文件，”研究人员说。“当单击时，这些LNK文件被explorer.exe与规范格式修改。这种修改导致在执行安全检查之前删除 MotW 标签。”