Kelemahan desain pada Windows Smart App Control dan SmartScreen yang memungkinkan penyerang meluncurkan program tanpa memicu peringatan keamanan telah dieksploitasi setidaknya sejak tahun 2018.
Kontrol Aplikasi Cerdas adalah fitur keamanan berbasis reputasi yang menggunakan layanan intelijen aplikasi Microsoft untuk prediksi keamanan dan fitur integritas kode Windows untuk mengidentifikasi dan memblokir biner dan aplikasi yang tidak tepercaya (tidak ditandatangani) atau berpotensi berbahaya.
Fitur ini menggantikan SmartScreen di Windows 11, fitur serupa yang diperkenalkan di Windows 8 yang dirancang untuk melindungi dari konten yang berpotensi berbahaya (SmartScreen akan mengambil alih saat Smart App Control tidak diaktifkan). Kedua fitur tersebut diaktifkan saat pengguna mencoba membuka file yang diberi label Mark of the Web (MotW).
Seperti yang ditemukan Elastic Security Labs, bug dalam penanganan file LNK (dijuluki LNK stomping), dapat membantu pelaku ancaman menerobos kontrol keamanan Smart App Control yang dirancang untuk memblokir aplikasi yang tidak tepercaya.
Penginjak LNK melibatkan pembuatan berkas LNK dengan jalur target atau struktur internal nonstandar. Saat pengguna mengklik berkas tersebut, explorer.exe secara otomatis memodifikasi berkas LNK untuk menggunakan format kanonik yang benar.
Namun, ini juga menghapus label MotW (Mark of the Web) dari file yang diunduh, yang digunakan fitur keamanan Windows untuk memicu pemeriksaan keamanan.
Untuk mengeksploitasi kelemahan desain ini, seseorang dapat menambahkan titik atau spasi ke jalur eksekusi target (misalnya, setelah ekstensi biner seperti “powershell.exe.”) atau membuat file LNK yang berisi jalur relatif, seperti “.target.exe”.
Saat pengguna mengklik tautan tersebut, Windows Explorer akan mencari dan mengidentifikasi nama .exe yang cocok, mengoreksi jalur lengkap, menghapus MotW dengan memperbarui file pada disk, dan meluncurkan file yang dapat dieksekusi.
Elastic Security Labs meyakini kelemahan ini telah disalahgunakan selama bertahun-tahun, mengingat ditemukannya beberapa sampel di VirusTotal yang dirancang untuk mengeksploitasinya, yang tertua di antaranya diajukan lebih dari enam tahun lalu.
Ia juga membagikan temuan ini dengan Pusat Respons Keamanan Microsoft, yang mengatakan masalah tersebut “mungkin diperbaiki dalam pembaruan Windows mendatang.”
Elastic Security Labs juga menjelaskan kelemahan lain yang dapat dimanfaatkan penyerang untuk menerobos Smart App Control dan SmartScreen, termasuk:
- Malware yang ditandatangani: menandatangani muatan berbahaya menggunakan penandatanganan kode atau sertifikat penandatanganan Validasi Perluasan (EV).
- Pembajakan reputasi: mencari dan menggunakan kembali aplikasi yang mempunyai reputasi baik untuk menerobos sistem.
- Penyemaian reputasi: menyebarkan biner yang dikendalikan penyerang ke dalam sistem (misalnya, aplikasi dengan kerentanan yang diketahui atau kode berbahaya yang hanya dipicu jika kondisi tertentu terpenuhi).
- Perusakan reputasi: menyuntikkan kode berbahaya ke dalam biner tanpa kehilangan reputasi yang terkait.
“Smart App Control dan SmartScreen memiliki sejumlah kelemahan desain mendasar yang dapat memungkinkan akses awal tanpa peringatan keamanan dan interaksi pengguna minimal,” Elastic Security Labs memperingatkan.
“Tim keamanan harus memeriksa unduhan dengan cermat dalam tumpukan deteksi mereka dan tidak hanya mengandalkan fitur keamanan asli OS untuk perlindungan di area ini.
“Kami merilis informasi ini, beserta logika deteksi dan tindakan pencegahan, untuk membantu para pembela mengidentifikasi aktivitas ini hingga patch tersedia.”
Keamanan Elastis Peneliti Labs Joe Desimone telah merilis alat sumber terbuka untuk memeriksa tingkat kepercayaan Kontrol Aplikasi Cerdas suatu file.
