Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Schwachstellen in Windows Smart App Control und SmartScreen entdeckt

Cybersicherheitsforscher haben Designschwächen in Microsofts Windows Smart App Control und SmartScreen aufgedeckt, die es Angreifern ermöglichen könnten, sich ohne Warnungen Zugang zu Zielumgebungen zu verschaffen.

Bedrohungen
Lesezeit 2 Min.

Smart App Control (SAC) ist eine cloudbasierte Sicherheitsfunktion, die Microsoft in Windows 11 eingeführt hat. Sie blockiert bösartige, nicht vertrauenswürdige und potenziell unerwünschte Apps. Wenn der Dienst keine Entscheidung über die App treffen kann, prüft er, ob sie signiert ist oder eine gültige Signatur hat, um ausgeführt zu werden.

SmartScreen, das zusammen mit Windows 10 veröffentlicht wurde, ist eine ähnliche Sicherheitsfunktion. Sie überprüft, ob eine Website oder eine heruntergeladene App potenziell bösartig ist. Es verwendet einen reputationsbasierten Ansatz für URL- und App-Schutz.

Laut Microsoft-Dokumentation bewertet Microsoft Defender SmartScreen die URLs von Websites, um festzustellen, ob sie unsichere Inhalte enthalten. Es bietet auch Reputationsprüfungen für Apps, überprüft heruntergeladene Programme und die digitale Signatur, mit der eine Datei signiert wurde. Wenn eine URL, Datei, App oder ein Zertifikat eine gute Reputation hat, sehen Benutzer keine Warnungen. Wenn keine Reputation vorhanden ist, wird das Element als Risiko markiert und eine Warnung angezeigt.

Wenn SAC aktiviert ist, wird Defender SmartScreen deaktiviert.

Elastic Security Labs berichtet, dass sowohl Smart App Control als auch SmartScreen grundlegende Designschwächen haben, die es ermöglichen, ohne Sicherheitswarnungen und mit minimaler Benutzerinteraktion initialen Zugang zu erlangen. Eine einfache Möglichkeit, diese Schutzmaßnahmen zu umgehen, besteht darin, die App mit einem legitimen Extended Validation (EV)-Zertifikat zu signieren. Diese Technik wurde bereits von bösartigen Akteuren zur Verbreitung von Malware genutzt, wie im Fall von HotPage kürzlich belegt wurde.

Einige der anderen Methoden zur Umgehung der Erkennung sind:

  • Reputation Hijacking: Dabei werden Apps mit guter Reputation identifiziert und umfunktioniert, um das System zu umgehen (zum Beispiel JamPlus oder ein bekannter AutoHotkey-Interpreter).
  • Reputation Seeding: Dabei wird ein scheinbar harmloses, vom Angreifer kontrolliertes Programm verwendet, um durch eine Schwachstelle in einer Anwendung oder nach Ablauf einer bestimmten Zeit bösartiges Verhalten auszulösen.
  • Reputation Tampering: Dabei werden bestimmte Abschnitte einer legitimen Datei (z.B. Taschenrechner) verändert, um Shellcode einzuschleusen, ohne die Gesamt-Reputation zu verlieren.
  • LNK Stomping: Dabei wird ein Fehler in der Handhabung von Windows-Verknüpfungsdateien (LNK) ausgenutzt, um das Mark-of-the-Web (MotW) Label zu entfernen und so die SAC-Schutzmaßnahmen zu umgehen. Dies geschieht, indem LNK-Dateien erstellt werden, die nicht standardmäßige Zielpfade oder interne Strukturen aufweisen. Beim Anklicken werden diese LNK-Dateien von explorer.exe mit der kanonischen Formatierung geändert, wodurch das MotW-Label entfernt wird, bevor Sicherheitsprüfungen durchgeführt werden.

Elastic Security Labs fand aktiv genutzte Exploits, die LNK Stomping bereits im Februar 2018 nutzten, und verwies auf Artefakte, die bei VirusTotal eingereicht wurden. Das deutet darauf hin, dass Bedrohungsakteure seit Jahren von der Umgehungsmöglichkeit wissen. „Reputationsbasierte Schutzsysteme sind effektiv im Blockieren gängiger Malware,“ so das Unternehmen. „Aber wie jede Schutztechnik haben sie Schwächen, die mit etwas Aufwand umgangen werden können. Sicherheitsteams sollten Downloads genau überwachen und sich nicht ausschließlich auf die eingebauten Sicherheitsfunktionen des Betriebssystems verlassen.“

Diesen Beitrag teilen: