Vulnérabilités de Sécurité dans Windows Smart App Control

technologie Windows

Une faille de conception dans Windows Smart App Control et SmartScreen permet aux attaquants de lancer des programmes sans déclencher d’avertissements de sécurité. Cette vulnérabilité est exploitée depuis au moins 2018.

Qu’est-ce que Smart App Control ?

Smart App Control est une fonctionnalité de sécurité basée sur la réputation qui utilise les services d’intelligence des applications de Microsoft pour prédire la sécurité et les fonctionnalités d’intégrité du code de Windows pour identifier et bloquer les applications et binaires non fiables (non signés) ou potentiellement dangereux. Elle remplace SmartScreen dans Windows 11, une fonctionnalité similaire introduite avec Windows 8, conçue pour protéger contre le contenu potentiellement malveillant. Les deux fonctionnalités s’activent lorsque l’utilisateur tente d’ouvrir des fichiers étiquetés avec un Marque du Web (MotW).

La Problématique du LNK Stomping

Selon les découvertes des Elastic Security Labs, un bug dans le traitement des fichiers LNK, connu sous le nom de LNK stomping, permet aux acteurs malveillants de contourner les contrôles de sécurité de Smart App Control. Le LNK stomping consiste à créer des fichiers LNK avec des chemins cibles non standards ou des structures internes modifiées. Lorsque l’utilisateur clique sur un tel fichier, explorer.exe modifie automatiquement les fichiers LNK pour utiliser le format canonique correct.

Cependant, cette modification supprime également l’étiquette MotW des fichiers téléchargés, que les fonctionnalités de sécurité de Windows utilisent pour déclencher une vérification de sécurité.

Avertissement de sécurité MotW
Image d’avertissement lors de l’ouverture de fichiers téléchargés (BleepingComputer)

Méthodes d’Exploitation

Pour exploiter cette faille, un attaquant peut ajouter un point ou un espace au chemin d’exécution cible (par exemple, après l’extension d’un binaire comme « powershell.exe. ») ou créer un fichier LNK contenant un chemin relatif, tel que « .target.exe ». Lorsque l’utilisateur clique sur le lien, l’Explorateur Windows recherche et identifie le nom .exe correspondant, corrige le chemin complet, supprime le MotW en mettant à jour le fichier sur le disque, et lance l’exécutable.

Elastic Security Labs estime que cette vulnérabilité a été exploitée dans la nature pendant des années, ayant trouvé plusieurs échantillons sur VirusTotal conçus pour en tirer parti, le plus ancien ayant été soumis il y a plus de six ans. Les résultats ont été partagés avec le Microsoft Security Response Center, qui a indiqué que le problème « pourrait être corrigé dans une future mise à jour de Windows ».

Démonstration de LNK stomping
Démonstration de LNK stomping avec Smart App Control (Elastic Security Labs)

Autres Failles de Sécurité

Elastic Security Labs a également identifié d’autres faiblesses que les attaquants peuvent exploiter pour contourner Smart App Control et SmartScreen, notamment :

  • Malware signé : signer des charges utiles malveillantes à l’aide de certificats de signature de code ou de validation étendue (EV).
  • Détournement de réputation : trouver et réutiliser des applications ayant une bonne réputation pour contourner le système.
  • Semis de réputation : déployer des binaires contrôlés par l’attaquant sur le système (par exemple, une application avec des vulnérabilités connues ou un code malveillant qui ne s’active que si certaines conditions sont remplies).
  • Altération de réputation : injecter du code malveillant dans des binaires sans perdre la réputation associée.

Conclusion et Recommandations

« Smart App Control et SmartScreen présentent plusieurs faiblesses de conception fondamentales qui peuvent permettre un accès initial sans avertissements de sécurité et avec une interaction minimale de l’utilisateur », a averti Elastic Security Labs.

Les équipes de sécurité doivent examiner attentivement les téléchargements dans leur pile de détection et ne pas se fier uniquement aux fonctionnalités de sécurité natives du système d’exploitation pour se protéger dans ce domaine.

« Nous publions ces informations, ainsi que des logiques de détection et des contre-mesures, pour aider les défenseurs à identifier cette activité jusqu’à ce qu’un correctif soit disponible. »

Un chercheur d’Elastic Security Labs, Joe Desimone, a mis à disposition un outil open-source pour vérifier le niveau de confiance de Smart App Control d’un fichier.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *