2024-08-07 05:25:03
Des recherches menées par Elastic Security Labs ont identifié une série de vulnérabilités de sécurité dans Microsoft Windows Smart App Control (SAC) et SmartScreen. L’équipe a mis en évidence plusieurs faiblesses de sécurité, notamment des failles qui pourraient permettre aux attaquants d’obtenir un accès initial sans aucun avertissement de sécurité et avec une interaction utilisateur minimale.
Les faiblesses identifiées incluent un bug dans la gestion des fichiers LNK, qui permet aux attaquants de contourner divers contrôles de sécurité, voire des outils de détection de terminaux. Elastic Security Labs recommande aux défenseurs de comprendre les limites des fonctionnalités SAC et SmartScreen et de mettre en œuvre leurs propres méthodes de détection pour compenser ces failles.
SmartScreen est une fonctionnalité intégrée au système d’exploitation Windows depuis Windows 8, qui se concentre sur les fichiers marqués du symbole Mark of the Web (MotW). Avec l’introduction de Windows 11, Microsoft a dévoilé Smart App Control comme une évolution de SmartScreen, décrite comme offrant une protection significative contre les menaces émergentes en bloquant les applications malveillantes ou non fiables. Cependant, les faiblesses de SAC et de SmartScreen permettent aux attaquants d’exploiter ces protections.
Une méthode de contournement notable consiste à signer les programmes malveillants avec un certificat de signature de code. Bien que les certificats Extended Validation (EV) nécessitent une preuve d’identité et soient sécurisés sur des jetons matériels spécialement conçus, des attaquants ont réussi à se faire passer pour des entreprises pour obtenir ces certificats. Une autre vulnérabilité est le détournement de réputation, où les attaquants réutilisent des applications ayant une bonne réputation pour contourner le système. Cette attaque nécessite que l’application exécute des scripts ou du code sans aucun paramètre de ligne de commande.
Les services cloud peuvent exposer des API non documentées pour vérifier la confiance des fichiers, ce qui aggrave encore ces vulnérabilités. Pour démontrer l’impact pratique, l’équipe Elastic a conçu des utilitaires pour montrer comment les attaquants pourraient exploiter ces API. Ils ont noté que la création de fichiers LNK avec des chemins cibles ou des structures internes non standard contourne MotW, ce qui entraîne des failles de sécurité.
L’ensemencement par réputation est une autre méthode connue où les binaires contrôlés par les attaquants semblent inoffensifs au début et acquièrent une bonne réputation avant d’attaquer. Cette méthode semble particulièrement efficace contre Smart App Control, qui attribue des étiquettes réputées aux nouveaux binaires après une brève période, les rendant moins détectables.
L’équipe a également étudié la falsification de la réputation, où certaines modifications de fichiers ne modifient pas la réputation du logiciel en raison de l’utilisation possible d’un hachage flou ou de comparaisons de similarité basées sur des fonctionnalités au lieu ou en plus du hachage standard. Cette découverte signifie que même les binaires modifiés pourraient conserver un statut de confiance sous SAC, ce qui présente des risques importants.
Au cours de leurs recherches, l’équipe a découvert que les fichiers LNK avec des structures modifiées contournaient les contrôles de sécurité MotW, une technique déjà utilisée depuis plus de six ans. « Nous publions ces informations, ainsi qu’une logique de détection et des contre-mesures, pour aider les défenseurs à identifier cette activité jusqu’à ce qu’un correctif soit disponible », a déclaré Elastic Security Labs dans ses conclusions détaillées.
Elastic Security Labs a recommandé plusieurs méthodes de détection, notamment le suivi des applications connues pour être utilisées à mauvais escient et le développement de signatures comportementales pour identifier les activités suspectes. Ils ont également conseillé de prêter une attention particulière aux fichiers téléchargés, en utilisant la réputation locale pour signaler les anomalies et les inspecter de plus près. Cependant, l’équipe a noté que ces méthodes nécessitent des mises à jour continues pour rester efficaces contre les menaces en constante évolution.
L’étude met en évidence d’importantes faiblesses dans les systèmes Smart App Control et SmartScreen de Microsoft, soulignant la nécessité pour les équipes de sécurité de mettre en œuvre des mécanismes de détection complets au-delà du simple recours aux fonctionnalités du système d’exploitation.
#Elastic #signale #des #failles #sécurité #critiques #dans #les #systèmes #Microsoft
1723003806
