Microsoft a corrigé une faille Windows Smart App Control et SmartScreen qui a été exploitée dans des attaques en tant que zero-day depuis au moins 2018.
Sur les systèmes vulnérables, les auteurs de menaces ont abusé de la vulnérabilité (désormais répertoriée sous le numéro CVE-2024-38217) pour contourner le contrôle intelligent des applications et la fonctionnalité de sécurité Mark of the Web (MotW) afin de lancer des binaires et des applications non fiables ou potentiellement dangereux sans avertissement.
« Pour exploiter cette vulnérabilité, un attaquant pourrait héberger un fichier sur un serveur contrôlé par un attaquant, puis convaincre un utilisateur ciblé de télécharger et d’ouvrir le fichier. Cela pourrait permettre à l’attaquant d’interférer avec la marque de la fonctionnalité Web », a expliqué Microsoft dans un avis de sécurité publié aujourd’hui.
« Un attaquant peut créer un fichier malveillant qui échapperait aux défenses de Mark of the Web (MOTW), entraînant une perte limitée d’intégrité et de disponibilité des fonctionnalités de sécurité telles que la vérification de sécurité de la réputation des applications SmartScreen et/ou l’invite de sécurité des services de pièces jointes Windows hérités. »
Le contrôle intelligent des applications dans Windows 11 utilise les services App Intelligence de Microsoft et les fonctionnalités d’intégrité du code pour détecter et bloquer les applications ou binaires potentiellement dangereux.
Il remplace SmartScreen dans Windows 11, mais SmartScreen prendra toujours automatiquement le relais si Smart App Control n’est pas activé pour se protéger contre le contenu malveillant. Les deux fonctions de sécurité sont activées lorsque les utilisateurs essaient d’ouvrir des fichiers marqués d’une étiquette « Marque du Web ».
Le mois dernier, Elastic Security Labs a révélé que CVE-2024-38217 était une faille dans la gestion des fichiers LNK, connue sous le nom de piétinement LNK. Cette faille permet aux attaquants de contourner les fonctionnalités de sécurité du contrôle intelligent des applications qui, autrement, empêcheraient le lancement d’applications non fiables.
Le piétinement LNK implique la création de fichiers LNK avec des chemins cibles ou des structures internes non conventionnels. Lorsqu’un utilisateur clique sur l’un de ces fichiers, l’Explorateur Windows (explorateur.exe) ajuste automatiquement le fichier LNK pour utiliser son formatage canonique. Cependant, ce processus supprime également l’étiquette » Marque du Web » (MotW) des fichiers téléchargés, un marqueur que les fonctionnalités de sécurité Windows utilisent pour déclencher une vérification de sécurité automatisée.
Pour exploiter cette faille, les attaquants peuvent ajouter un point ou un espace au chemin de l’exécutable cible (par exemple, en l’ajoutant au nom binaire comme » powershell.exé. ») ou créez un fichier LNK avec un chemin relatif comme « .\ cible.exé. »Lorsque la cible clique sur le lien, l’Explorateur Windows identifie l’exécutable correct, met à jour le chemin, supprime l’étiquette MotW et lance le fichier, en contournant les contrôles de sécurité.
Elastic Security Labs a déclaré en août qu’il y avait des raisons de croire que la vulnérabilité était exploitée depuis des années, car plusieurs échantillons ont été trouvés sur VirusTotal, le plus ancien datant de plus de six ans.
La société a partagé ses conclusions avec le Centre de réponse à la sécurité de Microsoft, qui a reconnu le problème et a déclaré qu’il « pourrait être résolu dans une future mise à jour de Windows. »
Joe Desimone, chercheur chez Elastic Security Labs, a également développé et partagé un outil open source pour évaluer le niveau de confiance du contrôle intelligent des applications d’un fichier.