indows智能應(yīng)用控制(Smart App Control)和智能屏幕(SmartScreen)存在一個(gè)設(shè)計(jì)缺陷,該缺陷允許攻擊者在不觸發(fā)安全警告的情況下啟動(dòng)程序,至少自2018年以來(lái)一直在被利用��。
智能應(yīng)用控制是一項(xiàng)基于信任的安全功能�����,它使用微軟的應(yīng)用智能服務(wù)進(jìn)行安全預(yù)測(cè),并利用Windows的代碼完整性功能來(lái)識(shí)別和阻止不受信任的(未簽名的)或潛在危險(xiǎn)的二進(jìn)制文件和應(yīng)用程序����。
它在Windows 11中取代了智能屏幕���,智能屏幕是Windows 8中引入的一個(gè)類(lèi)似功能����,旨在保護(hù)用戶免受潛在惡意內(nèi)容的侵害(當(dāng)智能應(yīng)用控制未啟用時(shí)�,智能屏幕將接管)。當(dāng)用戶嘗試打開(kāi)帶有“Web標(biāo)記”(MotW)標(biāo)簽的文件時(shí)���,這兩個(gè)功能都會(huì)被激活�����。
正如Elastic安全實(shí)驗(yàn)室所發(fā)現(xiàn)的,LNK文件處理中的一個(gè)錯(cuò)誤(被稱為L(zhǎng)NK踩踏)可以幫助威脅行為者繞過(guò)智能應(yīng)用控制的安全控制,這些控制旨在阻止不受信任的應(yīng)用程序。
LNK踩踏包括創(chuàng)建具有非標(biāo)準(zhǔn)目標(biāo)路徑或內(nèi)部結(jié)構(gòu)的LNK文件�,當(dāng)用戶點(diǎn)擊這樣的文件時(shí)��,explorer.exe會(huì)自動(dòng)修改LNK文件以使用正確的規(guī)范格式。
打開(kāi)下載文件時(shí)的警告(BleepingComputer)
但是,這也從下載的文件中移除了MotW(Web標(biāo)記)��,Windows安全功能使用該標(biāo)簽來(lái)觸發(fā)安全檢查�����。
要利用這個(gè)設(shè)計(jì)缺陷���,可以向目標(biāo)可執(zhí)行文件路徑添加一個(gè)點(diǎn)或空格(例如����,在二進(jìn)制文件的擴(kuò)展名后加一個(gè)點(diǎn)���,如"powershell.exe.")�,或創(chuàng)建一個(gè)包含相對(duì)路徑的LNK文件���,如".\target.exe"���。
當(dāng)用戶點(diǎn)擊鏈接時(shí)���,Windows資源管理器將查找并識(shí)別匹配的.exe名稱�,修正完整路徑,通過(guò)更新磁盤(pán)上的文件來(lái)移除MotW�����,并啟動(dòng)可執(zhí)行文件���。
Elastic安全實(shí)驗(yàn)室認(rèn)為���,這一漏洞多年來(lái)一直被濫用�����,因?yàn)樗麄冊(cè)赩irusTotal中發(fā)現(xiàn)了多個(gè)利用此漏洞的樣本�����,其中最早的提交時(shí)間超過(guò)六年。
智能應(yīng)用控制LNK踩踏演示(Elastic安全實(shí)驗(yàn)室)
他們已經(jīng)將這些發(fā)現(xiàn)與微軟安全響應(yīng)中心共享��,后者表示問(wèn)題可能在未來(lái)的Windows更新中得到解決��。
此外���,Elastic安全實(shí)驗(yàn)室還描述了其他可以被攻擊者利用來(lái)繞過(guò)智能應(yīng)用控制和SmartScreen的弱點(diǎn),包括:
- 簽名惡意軟件:使用代碼簽名或擴(kuò)展驗(yàn)證(EV)簽名證書(shū)簽署惡意負(fù)載
- 信譽(yù)劫持:尋找并重新利用信譽(yù)良好的應(yīng)用程序以繞過(guò)系統(tǒng)
- 信譽(yù)種植:在系統(tǒng)中部署攻擊者控制的二進(jìn)制文件(例如�,帶有已知漏洞的應(yīng)用程序或僅在滿足特定條件時(shí)才會(huì)觸發(fā)的惡意代碼)
- 信譽(yù)篡改:在不丟失相關(guān)信譽(yù)的情況下向二進(jìn)制文件注入惡意代碼
Elastic安全實(shí)驗(yàn)室警告說(shuō)��,智能應(yīng)用控制和智能屏幕存在一些基本設(shè)計(jì)缺陷,可以允許在沒(méi)有安全警告和用戶交互最少的情況下進(jìn)行初始訪問(wèn)�����。
安全團(tuán)隊(duì)?wèi)?yīng)該仔細(xì)審查他們的檢測(cè)堆棧中的下載內(nèi)容��,而不是僅僅依賴操作系統(tǒng)的原生安全功能來(lái)提供這方面的保護(hù)��。
Elastic安全實(shí)驗(yàn)室發(fā)布相關(guān)信息及檢測(cè)邏輯和應(yīng)對(duì)措施,旨在幫助防御者在補(bǔ)丁可用之前識(shí)別這種活動(dòng)�����。該實(shí)驗(yàn)室的研究員Joe Desimone已經(jīng)發(fā)布了一個(gè)開(kāi)源工具��,用于檢查文件的智能應(yīng)用控制信任級(jí)別���。
參考來(lái)源:
https://www.bleepingcomputer.com/news/microsoft/windows-smart-app-control-smartscreen-bypass-exploited-since-2018/
點(diǎn)擊上方關(guān)注“銳成云分銷(xiāo)”����,云建站解決方案專(zhuān)家!域名����、SSL證書(shū)�����、DNS、主機(jī)一站選齊
在互聯(lián)網(wǎng)時(shí)代����,網(wǎng)站的安全性和可信度是用戶選擇是否繼續(xù)訪問(wèn)的重要因素之一,然而���,網(wǎng)站運(yùn)營(yíng)者偶爾會(huì)發(fā)現(xiàn)使用Edge瀏覽器訪問(wèn)網(wǎng)站時(shí),會(huì)出現(xiàn)Microsoft Defender SmartScreen(以下簡(jiǎn)稱SmartScreen)提示網(wǎng)站不安全的情況�����。為什么SmartScreen會(huì)提示網(wǎng)站不安全�?作為網(wǎng)站運(yùn)營(yíng)者,網(wǎng)站被SmartScreen標(biāo)記為不安全怎么辦?帶著這些疑問(wèn),我們一起來(lái)看下面的內(nèi)容��。
為什么SmartScreen會(huì)提示網(wǎng)站不安全���?
SmartScreen是微軟推出的一項(xiàng)安全服務(wù)�����,旨在保護(hù)用戶免受互聯(lián)網(wǎng)威脅�����。其針對(duì)可能從事網(wǎng)絡(luò)釣魚(yú)攻擊,或嘗試通過(guò)集中式攻擊分發(fā)惡意軟件的網(wǎng)站提供警告。
SmartScreen會(huì)向 Microsoft 發(fā)送信息�����,Microsoft會(huì)根據(jù)用戶反饋�����、數(shù)據(jù)提供商和智能模型等數(shù)據(jù)來(lái)識(shí)別潛在的惡意內(nèi)容�,一旦確定某個(gè)頁(yè)面是惡意的�,將顯示一個(gè)如下圖所示的警告頁(yè)面,通知用戶該站點(diǎn)被報(bào)告為不安全。
網(wǎng)站被SmartScreen標(biāo)記為不安全怎么辦?
作為網(wǎng)站運(yùn)營(yíng)者��,如果網(wǎng)站被SmartScreen標(biāo)記為不安全��,會(huì)導(dǎo)致用戶對(duì)網(wǎng)站的不信任,從而停止訪問(wèn)�,這可能會(huì)給企業(yè)造成網(wǎng)站流量減少���、影響品牌聲譽(yù)以及業(yè)務(wù)減少等損失�����。由此,采取措施減少網(wǎng)站被SmartScreen標(biāo)記為不安全至關(guān)重要��。
對(duì)此���,微軟建議使用HTTPS和受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的有效且未過(guò)期的服務(wù)器證書(shū)等措施來(lái)盡可能減少網(wǎng)站被標(biāo)記為可疑網(wǎng)站的可能�����。
受信任的證書(shū)頒發(fā)機(jī)構(gòu)
受信任的證書(shū)頒發(fā)機(jī)構(gòu)有很多���,微軟的Windows根證書(shū)計(jì)劃也推薦了Digicert��、Sectigo (Comodo)和GlobalSign等證書(shū)頒發(fā)機(jī)構(gòu)以供選擇。
未過(guò)期的服務(wù)器證書(shū)
這里的服務(wù)器證書(shū)指的就是可以實(shí)現(xiàn)網(wǎng)站HTTPS的SSL證書(shū)�����,且要使用在有效期內(nèi)的SSL證書(shū)。而SSL證書(shū)有DV、OV以及EV SSL證書(shū)等類(lèi)型可選,其中:
- DV SSL證書(shū)僅需驗(yàn)證域名所有權(quán)���,可在幾分鐘內(nèi)簽發(fā),適合小型博客、展示類(lèi)的個(gè)人網(wǎng)站���。
- OV SSL證書(shū)需要驗(yàn)證域名所有權(quán)和企業(yè)基本信息,一般在1~3個(gè)工作日內(nèi)簽發(fā),適合電子商務(wù)交易類(lèi)、中小型企業(yè)業(yè)務(wù)類(lèi)�����、企事業(yè)單位等網(wǎng)站����。
- EV SSL 證書(shū)驗(yàn)證過(guò)程比 OV SSL 證書(shū)更嚴(yán)格��、更全面����,一般在1~5個(gè)工作日簽發(fā)�,適合大型電子商務(wù)交易類(lèi)、教育醫(yī)療科研等企事業(yè)單位�、銀行金融機(jī)構(gòu)類(lèi)等網(wǎng)站�。
如果您的網(wǎng)站部署了受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的SSL證書(shū)�����,仍然被標(biāo)記為不安全����,那么建議采取以下措施:
1�、向SmartScreen反饋
在 Microsoft Edge 中顯示的不安全警告頁(yè)面,依次點(diǎn)擊“詳細(xì)信息”→“報(bào)告此站點(diǎn)不包含威脅”進(jìn)入反饋?lái)?yè)面���。在反饋?lái)?yè)面按照說(shuō)明操作并提供有關(guān)此網(wǎng)站的信息,而后提交網(wǎng)站以供審查��。
2��、確保網(wǎng)站未遭攻擊
確保你的網(wǎng)頁(yè)沒(méi)有遭受任何跨站點(diǎn)腳本(XSS)漏洞的攻擊���,微軟建議可以使用反跨站點(diǎn)腳本功能(如 Microsoft 反跨站點(diǎn)腳本庫(kù)提供的功能)來(lái)保護(hù)你的站點(diǎn)����。
旨在通過(guò)以上措施�����,盡可能的減少網(wǎng)站被SmartScreen標(biāo)記為不安全的可能,讓網(wǎng)站可以正常顯示,從而使用戶重新建立起對(duì)網(wǎng)站的信任���,提高用戶訪問(wèn)量和瀏覽量。
銳成信息深耕數(shù)字證書(shū)領(lǐng)域十余年,可提供Digicert、Sectigo (Comodo)和GlobalSign等全球知名CA機(jī)構(gòu)頒發(fā)的SSL證書(shū)�����,助力確保網(wǎng)站的安全性��、可信性�,讓用戶放心的瀏覽網(wǎng)站并提高與企業(yè)開(kāi)展業(yè)務(wù)的可能�。如您還有任何疑問(wèn)或需求,請(qǐng)聯(lián)系我們獲得支持。更多信息�����,請(qǐng)關(guān)注“銳成云”公眾號(hào)�。
原文鏈接:https://www.racent.com/blog/253
