اكتشف الباحثون عيوبًا في التحكم في تطبيقات Windows الذكية وSmartScreen
اكتشف باحثو الأمن السيبراني نقاط ضعف في التصميم في Windows Smart App Control وSmartScreen من Microsoft والتي يمكن أن تمكن الجهات الفاعلة في مجال التهديد من الوصول الأولي إلى البيئات المستهدفة دون إثارة أي تحذيرات.
التحكم الذكي بالتطبيقات (كيس) هي ميزة أمان مدعومة بالسحابة تقدمها Microsoft في نظام التشغيل Windows 11 لمنع تشغيل التطبيقات الضارة وغير الموثوق بها والتي يُحتمل أن تكون غير مرغوب فيها على النظام. في الحالات التي تكون فيها الخدمة غير قادرة على التنبؤ بالتطبيق، فإنها تتحقق مما إذا كان موقعًا أو يحتوي على توقيع صالح حتى يتم تنفيذه.
تعد SmartScreen، التي تم إصدارها جنبًا إلى جنب مع نظام التشغيل Windows 10، ميزة أمان مشابهة تحدد ما إذا كان الموقع أو التطبيق الذي تم تنزيله قد يكون ضارًا. كما أنه يستفيد من النهج القائم على السمعة لحماية عناوين URL والتطبيقات.
“يقوم Microsoft Defender SmartScreen بتقييم عناوين URL لموقع الويب لتحديد ما إذا كان من المعروف عنها توزيع أو استضافة محتوى غير آمن،” ريدموند ملحوظات في توثيقه.
“كما أنه يوفر أيضًا عمليات فحص سمعة التطبيقات، والتحقق من البرامج التي تم تنزيلها والتوقيع الرقمي المستخدم لتوقيع ملف. إذا كان لعنوان URL أو ملف أو تطبيق أو شهادة سمعة راسخة، فلن يرى المستخدمون أي تحذيرات. إذا كان هناك بدون سمعة، يتم وضع علامة على العنصر على أنه يمثل خطرًا أعلى ويقدم تحذيرًا للمستخدم.”
ومن الجدير بالذكر أيضًا أنه عند تمكين SAC، فإنه يحل محل Defender SmartScreen ويعطله.
قالت شركة Elastic Security Labs: “يحتوي التحكم في التطبيقات الذكية وSmartScreen على عدد من نقاط الضعف الأساسية في التصميم والتي يمكن أن تسمح بالوصول الأولي دون أي تحذيرات أمنية والحد الأدنى من تفاعل المستخدم”.قال في تقرير تمت مشاركته مع The Hacker News.
إحدى أسهل الطرق لتجاوز إجراءات الحماية هذه هي الحصول على توقيع التطبيق بشهادة مشروعة للتحقق من الصحة (EV)، وهي تقنية استغلتها الجهات الفاعلة الضارة بالفعل لتوزيع البرامج الضارة، كما ظهر مؤخرًا في حالة HotPage.
بعض الطرق الأخرى التي يمكن استخدامها للتهرب من الكشف مذكورة أدناه –
- اختطاف السمعة، والذي يتضمن تحديد وإعادة استخدام التطبيقات ذات السمعة الجيدة لتجاوز النظام (على سبيل المثال، JamPlus أو مترجم AutoHotkey المعروف)
- زرع السمعة، والذي يتضمن استخدام برنامج ثنائي يبدو غير ضار يتحكم فيه المهاجم لتحفيز السلوك الضار بسبب وجود ثغرة أمنية في أحد التطبيقات، أو بعد انقضاء وقت معين.
- التلاعب بالسمعة، والذي يتضمن تغيير أقسام معينة من الملف الثنائي الشرعي (على سبيل المثال، الآلة الحاسبة) لإدخال كود القشرة دون فقدان سمعته العامة
- LNK Stomping، والذي يتضمن استغلال خطأ في طريقة معالجة ملفات اختصارات Windows (LNK) لإزالة علامة علامة الويب (MotW) والتغلب على حماية SAC نظرًا لحقيقة أن SAC تحظر الملفات التي تحمل الملصق.
وقال الباحثون: “إنه ينطوي على صياغة ملفات LNK ذات مسارات مستهدفة غير قياسية أو هياكل داخلية”. “عند النقر عليها، يتم تعديل ملفات LNK هذه بواسطة explorer.exe بالتنسيق الأساسي. ويؤدي هذا التعديل إلى إزالة علامة MotW قبل إجراء فحوصات الأمان.”
وقالت الشركة: “إن أنظمة الحماية القائمة على السمعة تمثل طبقة قوية لمنع البرمجيات الخبيثة السلعية”. “ومع ذلك، مثل أي تقنية حماية، فإن لديهم نقاط ضعف يمكن تجاوزها ببعض العناية. يجب على فرق الأمان فحص التنزيلات بعناية في حزمة الكشف الخاصة بهم وعدم الاعتماد فقط على ميزات الأمان الأصلية لنظام التشغيل للحماية في هذا المجال.”
إرسال التعليق