Microsoft se dostává do docela trapné situace: ochranná funkce Smart App Control, která byla představena spolu s Windows 11 22H2, a její předchůdce SmartScreen nejsou nijak neprůstřelné. Bezpečnostním expertům se podařilo objevit, že minimálně od roku 2018 lze oba mechanismy různými způsoby obelstít.
Funkce Smart App Control (SAC) a SmartScreen, která se součástí Windows od verze 8, mají obě plnit funkci ochrany uživatelů před škodlivých softwarem. Aktivují se v okamžiku, kdy uživatelé chtějí otevřít soubory stažené z internetu.
Systém Windows k příslušným souborům přidá štítech MotW (Mark of the Web). Existují ale způsoby, jak útočníci mohou bezpečnostní varování potlačit. K použití finty stačí pouze zneužít existující bezpečnostní mezery.
Zneužití bezpečnostních mezer obelstí ochranu Windows
Bezpečnostní výzkumníci popisují jednoduchý trik, který funguje na principu takzvaného "LNK Stompingu". Soubory .LNK jsou ve Windows zástupci, které lze použít k rychlému otevření jiných souborů nebo spuštění programů. Uživatelé je často vytvářejí například v případech, kdy potřebují rychlý přístup k souboru, se kterým často pracují a originál mají uložený hluboko ve své adresářové struktuře. Lze je ale také zneužít k vyvolání škodlivých souborů EXE.
Pokud by nastal případ, že byste si z nějaké internetové stránky stáhli škodlivý kód nebo dokonce počítačový virus, jedna z ochranných funkcí Windows by měla stažený balík zkontrolovat, protože soubor je "ocejchován" jako pocházející z internetu. To lze ale snadno odstranit.
Mohlo by vás zajímat
Útočníci k tomu potřebují soubor zástupce LNK, který odkazuje na spustitelný kód EXE, ale vloží do něj chybu. Do zástupce, který obsahuje celou cestu ke zdrojovému souboru, vloží například mezeru nebo tečku.
Pokud se poté spustí soubor LNK, Průzkumník i přes mezery správný soubor rozpozná, cestu opraví, odstraní štítek stažení a spustí jej bez bezpečnostní kontroly.
Jak se můžete proti takovému zneužití chránit?
V databázi serveru VirusTotal už výzkumníci našli několik příkladů, které LNK duplikáty zneužívaly dříve. Nejstarší z nich pocházejí z roku 2018. Lze tedy předpokládat, že metoda LNK Stompingu je známá a aktivní už několik let.
Na dotaz ohledně řešení zástupci Microsoftu sdělili pouze to, že problém by mohl být vyřešen v budoucí aktualizaci systému Windows. Co ale mají uživatelé dělat do té doby?
I když popsané ochranné funkce nejsou dokonalé a mají své bezpečnostní mezery, je Windows vybaven i dalšími bezpečnostními nástroji. Například antivirová ochrana Defender také dokáže činnosti malwaru zabránit. Základem je pravidelně instalovat aktualizace operačních systémů a programů.
Mohlo by vás zajímat
Pokud jde o stahování obsahu, nejlepší je držet se webových stránek vývojářů konkrétních nástrojů, a celkově důvěryhodných či známých portálů. Tím minimalizujete riziko, že se do vašeho zařízení prostřednictvím downloadu dostane nějaký škodlivý kód, který by poté bylo komplikované odstranit.
Bezpečnostními funkcemi jsou také opatřené internetové prohlížeče, z nichž nejrozšířenější je Google Safe Browsing. Tato funkce se rovněž zaměřuje na ochranu před škodlivými weby a stahováním nebezpečného kódu.
Také se doporučuje používat i další antivirové skenery, případně si stažený či jiný soubor, u kterého si nejste jisti původem a máte pochybnosti zda nemůže obsahovat nebezpečný kód, zkontrolovat online nástrojem. Obecně doporučovaný je VirusTotal, což je vlastně agregátor, využívající antivirové skenery mnoha poskytovatelů.
Zdroj: The Hacker News, Elastic Security Labs
video
