I ricercatori di Elastic Security Labs hanno descritto un bug progettuale nelle funzionalità Smart App Control e SmartScreen di Windows 11 che permette ai cybercriminali di eseguire malware senza mostrare un avviso di pericolo agli utenti. È consigliato quindi l’uso di soluzioni di sicurezza più avanzate, invece di fare affidamento sulle protezioni del sistema operativo.
Bug presente dal 2018
SmartScreen è una funzionalità introdotta con Windows 8. Quando l’utente visita una pagina web o scarica app sospette, il sistema operativo mostra un avviso di pericolo. Smart App Control è l’evoluzione di SmartScreen introdotta con Windows 11. Gli esperti di Elastic Security Labs hanno verificato che queste protezioni basate sulla reputazione possono essere aggirate con varie tecniche.
Una di esse prevede l’uso di un file LNK con strutture interne o percorso target non standard. Quando eseguito, explorer.exe
modifica automaticamente il file per usare la formattazione corretta. Questa modifica elimina però l’etichetta MotW (Mark of the Web) che indica la fonte del file (Internet) e quindi la necessità di un controllo. Il file viene così eseguito senza mostrare un avviso. Il bug è stato sfruttato da almeno sei anni (potrebbe essere risolto con un futuro aggiornamento).
I ricercatori hanno descritto altre quattro tecniche che permettono di aggirare le protezioni. È possibile distribuire un malware firmato con un certificato valido, modificare un’app con buona reputazione, distribuire un’app vulnerabile che viene eseguita solo in determinate condizioni o iniettare codice infetto nei file eseguibili senza alterare la reputazione.
Tutte queste “debolezze di progettazione” possono essere sfruttate per l’accesso iniziale al sistema che successivamente consente di eseguire varie attività (come il furto dei dati) all’insaputa dell’utente.