Microsoft heeft een fout in Windows Smart App Control en SmartScreen verholpen die sinds ten minste 2018 in zero-day aanvallen is misbruikt.

Op kwetsbare systemen hebben dreigingsactoren het lek (nu gevolgd als CVE-2024-38217) misbruikt om Smart App Control en de Mark of the Web (MotW) beveiligingsfunctie te omzeilen en onbetrouwbare of mogelijk gevaarlijke binaries en apps zonder waarschuwingen te starten.

“Om deze kwetsbaarheid te misbruiken, kan een aanvaller een bestand op een door de aanvaller gecontroleerde server hosten en vervolgens een doelwit overtuigen om het bestand te downloaden en te openen. Dit zou de aanvaller in staat kunnen stellen om de Mark of the Web functionaliteit te verstoren,” legt Microsoft uit in een vandaag gepubliceerde beveiligingswaarschuwing.

“Een aanvaller kan een kwaadaardig bestand maken dat de Mark of the Web (MOTW) verdedigingsmechanismen ontwijkt, wat resulteert in een beperkt verlies van integriteit en beschikbaarheid van beveiligingsfuncties zoals SmartScreen Application Reputation beveiligingscontrole en/of de oudere Windows Attachment Services beveiligingsprompt.”

Smart App Control in Windows 11 maakt gebruik van de app-intelligentieservices en code-integriteitsfuncties van Microsoft om potentieel schadelijke apps of bestanden te detecteren en te blokkeren.

Het vervangt SmartScreen in Windows 11, maar SmartScreen neemt automatisch over als Smart App Control niet is ingeschakeld om te beschermen tegen kwaadaardige inhoud. Beide beveiligingsfuncties worden geactiveerd wanneer gebruikers proberen bestanden te openen die zijn gemarkeerd met een “Mark of the Web” label.

Afgelopen maand openbaarde Elastic Security Labs CVE-2024-38217 als een fout in de omgang met LNK-bestanden, bekend als LNK stomping. Deze fout stelt aanvallers in staat om de beveiligingsfuncties van Smart App Control te omzeilen die anders onbetrouwbare applicaties zouden blokkeren bij het opstarten.

LNK stomping houdt in dat LNK-bestanden worden gemaakt met onconventionele doelpaden of interne structuren. Wanneer een gebruiker op een van deze bestanden klikt, past Windows Verkenner (explorer.exe) automatisch het LNK-bestand aan om gebruik te maken van de kanonieke opmaak. Dit proces verwijdert echter ook het “Mark of the Web” (MotW) label van gedownloade bestanden, een marker die Windows-beveiligingsfuncties gebruiken om een geautomatiseerde beveiligingscontrole te starten.

Om deze fout te misbruiken, kunnen aanvallers een punt of spatie toevoegen aan het uitvoerbare doepad (bijvoorbeeld door deze toe te voegen aan de bestandsnaam zoals “powershell.exe.”) of een LNK-bestand maken met een relatief pad zoals “.target.exe.” Wanneer het doelwit op de link klikt, identificeert Windows Verkenner het correcte uitvoerbare bestand, werkt het pad bij, verwijdert het MotW-label en start het bestand, waarbij beveiligingscontroles worden omzeild.

Elastic Security Labs zei in augustus dat er reden is om aan te nemen dat de kwetsbaarheid al jaren wordt misbruikt, aangezien meerdere monsters zijn gevonden op VirusTotal, waarvan de oudste meer dan zes jaar oud is.

Het bedrijf deelde zijn bevindingen met het Microsoft Security Response Center, dat het probleem erkende en zei dat het “mogelijk wordt opgelost in een toekomstige Windows-update.”

Elastic Security Labs onderzoeker Joe Desimone heeft ook een open-source tool ontwikkeld en gedeeld voor het evalueren van het vertrouwensniveau van een bestand in Smart App Control.