Windows智能應(yīng)用控制（Smart App Control）和智能屏幕（SmartScreen）存在一個(gè)設(shè)計(jì)缺陷，該缺陷允許攻擊者在不觸發(fā)安全警告的情況下啟動(dòng)程序，至少自2018年以來一直在被利用。

智能應(yīng)用控制是一項(xiàng)基于信任的安全功能，它使用微軟的應(yīng)用智能服務(wù)進(jìn)行安全預(yù)測(cè)，并利用Windows的代碼完整性功能來識(shí)別和阻止不受信任的（未簽名的）或潛在危險(xiǎn)的二進(jìn)制文件和應(yīng)用程序。

它在Windows 11中取代了智能屏幕，智能屏幕是Windows 8中引入的一個(gè)類似功能，旨在保護(hù)用戶免受潛在惡意內(nèi)容的侵害（當(dāng)智能應(yīng)用控制未啟用時(shí)，智能屏幕將接管）。當(dāng)用戶嘗試打開帶有“Web標(biāo)記”（MotW）標(biāo)簽的文件時(shí)，這兩個(gè)功能都會(huì)被激活。

正如Elastic安全實(shí)驗(yàn)室所發(fā)現(xiàn)的，LNK文件處理中的一個(gè)錯(cuò)誤（被稱為L(zhǎng)NK踩踏）可以幫助威脅行為者繞過智能應(yīng)用控制的安全控制，這些控制旨在阻止不受信任的應(yīng)用程序。

LNK踩踏包括創(chuàng)建具有非標(biāo)準(zhǔn)目標(biāo)路徑或內(nèi)部結(jié)構(gòu)的LNK文件，當(dāng)用戶點(diǎn)擊這樣的文件時(shí)，explorer.exe會(huì)自動(dòng)修改LNK文件以使用正確的規(guī)范格式。

打開下載文件時(shí)的警告(BleepingComputer)

但是，這也從下載的文件中移除了MotW（Web標(biāo)記），Windows安全功能使用該標(biāo)簽來觸發(fā)安全檢查。

要利用這個(gè)設(shè)計(jì)缺陷，可以向目標(biāo)可執(zhí)行文件路徑添加一個(gè)點(diǎn)或空格（例如，在二進(jìn)制文件的擴(kuò)展名后加一個(gè)點(diǎn)，如"powershell.exe."），或創(chuàng)建一個(gè)包含相對(duì)路徑的LNK文件，如".\target.exe"。

當(dāng)用戶點(diǎn)擊鏈接時(shí)，Windows資源管理器將查找并識(shí)別匹配的.exe名稱，修正完整路徑，通過更新磁盤上的文件來移除MotW，并啟動(dòng)可執(zhí)行文件。

Elastic安全實(shí)驗(yàn)室認(rèn)為，這一漏洞多年來一直被濫用，因?yàn)樗麄冊(cè)赩irusTotal中發(fā)現(xiàn)了多個(gè)利用此漏洞的樣本，其中最早的提交時(shí)間超過六年。

智能應(yīng)用控制LNK踩踏演示（Elastic安全實(shí)驗(yàn)室）

他們已經(jīng)將這些發(fā)現(xiàn)與微軟安全響應(yīng)中心共享，后者表示問題可能在未來的Windows更新中得到解決。

此外，Elastic安全實(shí)驗(yàn)室還描述了其他可以被攻擊者利用來繞過智能應(yīng)用控制和SmartScreen的弱點(diǎn)，包括：

• 簽名惡意軟件：使用代碼簽名或擴(kuò)展驗(yàn)證（EV）簽名證書簽署惡意負(fù)載
• 信譽(yù)劫持：尋找并重新利用信譽(yù)良好的應(yīng)用程序以繞過系統(tǒng)
• 信譽(yù)種植：在系統(tǒng)中部署攻擊者控制的二進(jìn)制文件（例如，帶有已知漏洞的應(yīng)用程序或僅在滿足特定條件時(shí)才會(huì)觸發(fā)的惡意代碼）
• 信譽(yù)篡改：在不丟失相關(guān)信譽(yù)的情況下向二進(jìn)制文件注入惡意代碼

Elastic安全實(shí)驗(yàn)室警告說，智能應(yīng)用控制和智能屏幕存在一些基本設(shè)計(jì)缺陷，可以允許在沒有安全警告和用戶交互最少的情況下進(jìn)行初始訪問。

安全團(tuán)隊(duì)?wèi)?yīng)該仔細(xì)審查他們的檢測(cè)堆棧中的下載內(nèi)容，而不是僅僅依賴操作系統(tǒng)的原生安全功能來提供這方面的保護(hù)。

Elastic安全實(shí)驗(yàn)室發(fā)布相關(guān)信息及檢測(cè)邏輯和應(yīng)對(duì)措施，旨在幫助防御者在補(bǔ)丁可用之前識(shí)別這種活動(dòng)。該實(shí)驗(yàn)室的研究員Joe Desimone已經(jīng)發(fā)布了一個(gè)開源工具，用于檢查文件的智能應(yīng)用控制信任級(jí)別。

參考來源：https://www.bleepingcomputer.com/news/microsoft/windows-smart-app-control-smartscreen-bypass-exploited-since-2018/