05 de agosto de 2024Ravie LakshmananInteligencia de amenazas / Vulnerabilidad Los investigadores de ciberseguridad han descubierto debilidades de diseño en Windows Smart App Control y SmartScreen de Microsoft que podrían permitir a los actores de amenazas obtener acceso inicial a los entornos objetivo sin generar ninguna advertencia. Smart App Control (SAC) es una función de seguridad impulsada por la nube introducida por Microsoft en Windows 11 para bloquear la ejecución de aplicaciones maliciosas, no confiables y potencialmente no deseadas en el sistema. En los casos en los que el servicio no puede hacer una predicción sobre la aplicación, verifica si está firmada o tiene una firma válida para poder ejecutarse. SmartScreen, que se lanzó junto con Windows 10, es una función de seguridad similar que determina si un sitio o una aplicación descargada es potencialmente maliciosa. También aprovecha un enfoque basado en la reputación para la protección de URL y aplicaciones. «Microsoft Defender SmartScreen evalúa las URL de un sitio web para determinar si se sabe que distribuyen o alojan contenido inseguro», señala Redmond en su documentación. «También proporciona comprobaciones de reputación para las aplicaciones, comprobando los programas descargados y la firma digital utilizada para firmar un archivo. Si una URL, un archivo, una aplicación o un certificado tiene una reputación establecida, los usuarios no ven ninguna advertencia. Si no hay reputación, el elemento se marca como de mayor riesgo y presenta una advertencia al usuario». También vale la pena mencionar que cuando SAC está habilitado, reemplaza y deshabilita Defender SmartScreen. «Smart App Control y SmartScreen tienen una serie de debilidades de diseño fundamentales que pueden permitir un acceso inicial sin advertencias de seguridad y una interacción mínima del usuario», dijo Elastic Security Labs en un informe compartido con The Hacker News. Una de las formas más fáciles de eludir estas protecciones es conseguir que la aplicación esté firmada con un certificado legítimo de Validación Extendida (EV), una técnica que ya explotan los actores maliciosos para distribuir malware, como se evidenció recientemente en el caso de HotPage. Algunos de los otros métodos que se pueden utilizar para la evasión de la detección se enumeran a continuación: Secuestro de reputación, que implica la identificación y reutilización de aplicaciones con una buena reputación para eludir el sistema (por ejemplo, JamPlus o un intérprete conocido de AutoHotkey) Sembrado de reputación, que implica el uso de un binario controlado por el atacante aparentemente inocuo para activar el comportamiento malicioso debido a una vulnerabilidad en una aplicación, o después de que haya transcurrido un cierto tiempo. Manipulación de reputación, que implica alterar ciertas secciones de un binario legítimo (por ejemplo, calculadora) para inyectar shellcode sin perder su reputación general LNK Stomping, que implica explotar un error en la forma en que se manejan los archivos de acceso directo de Windows (LNK) para eliminar la etiqueta de marca de la web (MotW) y eludir las protecciones de SAC debido al hecho de que SAC bloquea los archivos con la etiqueta. «Implica la creación de archivos LNK que tienen rutas de destino o estructuras internas no estándar», dijeron los investigadores. «Al hacer clic, explorer.exe modifica estos archivos LNK con el formato canónico. Esta modificación hace que se elimine la etiqueta MotW antes de que se realicen los controles de seguridad». «Los sistemas de protección basados ​​en la reputación son una capa poderosa para bloquear el malware comercial», dijo la empresa. «Sin embargo, como cualquier técnica de protección, tienen debilidades que se pueden evitar con un poco de cuidado. Los equipos de seguridad deben examinar las descargas con cuidado en su pila de detección y no confiar únicamente en las funciones de seguridad nativas del sistema operativo para la protección en esta área». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.