Přejít k hlavnímu obsahu

Šest let otevřená vrátka pro hackery: chyby v ochranných funkcích Windows jsou alarmující

Jiří Palyza 12.08.2024
info ikonka
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)

V komunitě bezpečnostních expertů to opět zašumělo: podařilo se totiž objevit několik chyb v návrhu ochranných funkcí Windows. Pokud je útočníci zneužijí, mohou úspěšně dostat na cílový počítač škodlivé programy a bezpečnostní ochrana ani nepípne. Je až zarážející, jak snadno to v některých případech jde.

Kapitoly článku

Microsoft se dostává do docela trapné situace: ochranná funkce Smart App Control, která byla představena spolu s Windows 11 22H2, a její předchůdce SmartScreen nejsou nijak neprůstřelné. Bezpečnostním expertům se podařilo objevit, že minimálně od roku 2018 lze oba mechanismy různými způsoby obelstít.

Funkce Smart App Control (SAC) a SmartScreen, která se součástí Windows od verze 8, mají obě plnit funkci ochrany uživatelů před škodlivých softwarem. Aktivují se v okamžiku, kdy uživatelé chtějí otevřít soubory stažené z internetu.

Systém Windows k příslušným souborům přidá štítech MotW (Mark of the Web). Existují ale způsoby, jak útočníci mohou bezpečnostní varování potlačit. K použití finty stačí pouze zneužít existující bezpečnostní mezery.

Zneužití bezpečnostních mezer obelstí ochranu Windows

Nastavení ochranné funkce Windows SAC
info ikonka
Zdroj: Windows 11 / Zabezpečení Windows
Windows mají zabudovanou ochrannou funkci, jejímž cílem je zabránit infekci zařízení staženým obsahem z internetu. Má ale slabiny, které doufejme Microsoft opraví v nadcházející aktualizaci systému.

Bezpečnostní výzkumníci popisují jednoduchý trik, který funguje na principu takzvaného "LNK Stompingu". Soubory .LNK jsou ve Windows zástupci, které lze použít k rychlému otevření jiných souborů nebo spuštění programů. Uživatelé je často vytvářejí například v případech, kdy potřebují rychlý přístup k souboru, se kterým často pracují a originál mají uložený hluboko ve své adresářové struktuře. Lze je ale také zneužít k vyvolání škodlivých souborů EXE.

Pokud by nastal případ, že byste si z nějaké internetové stránky stáhli škodlivý kód nebo dokonce počítačový virus, jedna z ochranných funkcí Windows by měla stažený balík zkontrolovat, protože soubor je "ocejchován" jako pocházející z internetu. To lze ale snadno odstranit.

Mohlo by vás zajímat

Útočníci k tomu potřebují soubor zástupce LNK, který odkazuje na spustitelný kód EXE, ale vloží do něj chybu. Do zástupce, který obsahuje celou cestu ke zdrojovému souboru, vloží například mezeru nebo tečku.

Pokud se poté spustí soubor LNK, Průzkumník i přes mezery správný soubor rozpozná, cestu opraví, odstraní štítek stažení a spustí jej bez bezpečnostní kontroly.

Jak se můžete proti takovému zneužití chránit?

Funkce Safe Browsing v nastavení prohlížeče Chrome
info ikonka
Zdroj: Chrome, Edge / Nastavení
Stahování škodlivých dat lze zabránit i v prostředí internetového prohlížeče.

V databázi serveru VirusTotal už výzkumníci našli několik příkladů, které LNK duplikáty zneužívaly dříve. Nejstarší z nich pocházejí z roku 2018. Lze tedy předpokládat, že metoda LNK Stompingu je známá a aktivní už několik let.

Na dotaz ohledně řešení zástupci Microsoftu sdělili pouze to, že problém by mohl být vyřešen v budoucí aktualizaci systému Windows. Co ale mají uživatelé dělat do té doby?

I když popsané ochranné funkce nejsou dokonalé a mají své bezpečnostní mezery, je Windows vybaven i dalšími bezpečnostními nástroji. Například antivirová ochrana Defender také dokáže činnosti malwaru zabránit. Základem je pravidelně instalovat aktualizace operačních systémů a programů.

Mohlo by vás zajímat

Pokud jde o stahování obsahu, nejlepší je držet se webových stránek vývojářů konkrétních nástrojů, a celkově důvěryhodných či známých portálů. Tím minimalizujete riziko, že se do vašeho zařízení prostřednictvím downloadu dostane nějaký škodlivý kód, který by poté bylo komplikované odstranit.

Bezpečnostními funkcemi jsou také opatřené internetové prohlížeče, z nichž nejrozšířenější je Google Safe Browsing. Tato funkce se rovněž zaměřuje na ochranu před škodlivými weby a stahováním nebezpečného kódu.

Také se doporučuje používat i další antivirové skenery, případně si stažený či jiný soubor, u kterého si nejste jisti původem a máte pochybnosti zda nemůže obsahovat nebezpečný kód, zkontrolovat online nástrojem. Obecně doporučovaný je VirusTotal, což je vlastně agregátor, využívající antivirové skenery mnoha poskytovatelů.

Zdroj: The Hacker News, Elastic Security Labs


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme