Windows-Schwachstelle wird seit sechs Jahren ausgenutzt Angreifer umgehen Windows Smart App Control

Anbieter zum Thema

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Sicherheitsforscher bei Elastic Security Labs haben eine Schwachstelle in Windows identifiziert, die Angreifer anscheinend seit 2018 ausnutzen. Dabei ist es möglich Sicherheitsmeldungen zu unterdrücken, sodass Malware einfacher in die Systeme eindringen kann.

Durch die von Elastic Security Labs gefundene Windows-Schwachstelle können Angreifer den Windows SmartScreen-Filter aushebeln. Dadurch kann Malware auf dem System einfallen, ohne dass Windows das an den Benutzer meldet. Die gleiche Lücke gibt es wohl noch in Smart App Control in Windows 11.

Das haben Elastic Security Labs über Smart App Control herausgefunden

Smart App Control und SmartScreen weisen mehrere Designschwächen auf, die es Angreifern erlauben, Zugang zu Systemen zu erlangen, ohne dass Sicherheitswarnungen oder Pop-ups ausgelöst werden. Ein besonders gravierender Fehler betrifft den Umgang mit LNK-Dateien, der es ermöglicht, diese Sicherheitskontrollen zu umgehen.

Microsoft SmartScreen, seit Windows 8 integraler Bestandteil des Betriebssystems, analysiert Dateien, die mit einem sogenannten „Mark of the Web“ (MotW) versehen sind und von Benutzern ausgeführt werden. Mit Windows 11 führte Microsoft Smart App Control (SAC) ein, welches eine Weiterentwicklung von SmartScreen darstellt. SAC soll einen erheblichen Schutz gegen neue und aufkommende Bedrohungen bieten, indem es Anwendungen blockiert, die bösartig oder nicht vertrauenswürdig sind. Dabei fragt SAC einen Cloud-Dienst von Microsoft ab. Bekannte sichere Anwendungen werden ausgeführt, während unbekannte nur dann ausgeführt werden, wenn sie über eine gültige Codesignatur verfügen. Wenn SAC aktiviert ist, ersetzt es SmartScreen und deaktiviert diesen.

Eine bekannte Methode zur Umgehung von Smart App Control besteht darin, Malware mit einem Codesignaturzertifikat zu signieren. Angreifer nutzen zunehmend Extended Validation (EV) Zertifikate, die höhere Sicherheitsanforderungen an die Identitätsprüfung stellen. Trotz dieser Sicherheitsvorkehrungen haben Angreifer Wege gefunden, sich als Unternehmen auszugeben und solche Zertifikate zu erwerben. Die Hackergruppe SolarMarker, nutzte in ihren Kampagnen über 100 einzigartige Signierzertifikate.

Ein weiteres Angriffsszenario, das als Reputations-Hijacking bezeichnet wird, involviert das Finden und Zweckentfremden von Anwendungen mit guter Reputation, um das Schutzsystem zu umgehen. Dabei eignen sich besonders Skript-Hosts. Diese können genutzt werden, um beliebigen Code im Speicher auszuführen. Eine weitere Schwachstelle liegt im Reputations-Seeding. Hierbei platzieren Angreifer gezielt scheinbar harmlose Binärdateien im System, um diese als vertrauenswürdig erscheinen zu lassen.

Ein dritter Angriffsvektor gegen Reputationssysteme ist das Reputations-Tampering. Eine besonders triviale Methode zur Umgehung von SmartScreen und SAC betrifft das sogenannte LNK-Stomping. Hierbei wird die Mark of the Web-Information durch eine Modifikation der LNK-Datei entfernt, bevor Sicherheitsprüfungen durchgeführt werden. Diese Technik lässt sich leicht ausnutzen, indem etwa der Pfad zu einer Zielanwendung durch das Anhängen eines Punktes oder Leerzeichens verändert wird. Sobald der Nutzer die Datei öffnet, korrigiert explorer.exe den Pfad, entfernt das MotW-Label und führt die Datei aus, ohne dass Sicherheitsmaßnahmen greifen.

(ID:50132016)