Especialistas em cibersegurança identificaram falhas preocupantes nos sistemas de proteção Windows Smart App Control e SmartScreen da Microsoft. Estas fraquezas no design dos recursos podem permitir que cibercriminosos executem ações mal-intencionadas em sistemas alvo sem disparar alertas de segurança.
O Smart App Control (SAC), introduzido no Windows 11, é uma ferramenta baseada na nuvem que tem como finalidade impedir a execução de aplicativos perigosos ou não confiáveis no sistema operacional. Quando há dúvidas sobre a segurança de um aplicativo, o SAC procura verificar sua assinatura digital para decidir se permite sua execução.
Por outro lado, o SmartScreen, lançado juntamente com o Windows 10, age como um guardião que avalia websites e programas baixados, determinando se apresentam riscos potenciais de serem maliciosos com base em uma abordagem de reputação.
A Microsoft enfatiza que o Defender SmartScreen checa os URLs de sites para assegurar que não sejam conhecidos por conteúdo perigoso, assim como avalia a reputação de aplicativos e arquivos baixados. Sem uma reputação estabelecida, o SmartScreen gera um alerta de segurança para o usuário.
Interessante notar que quando o SAC está ativo, ele prevalece e desativa o Defender SmartScreen.
As descobertas, relatadas pelo Elastic Security Labs e compartilhadas com a mídia especializada, incluem diversas formas nas quais essas proteções poderiam ser contornadas, como:
- Uso de um certificado de Validação Estendida (EV) legítimo para assinar aplicativos maliciosos – um modo já explorado por criminosos para distribuir malware;
- Sequestro de reputação por meio de redirecionamento de aplicativos bem-reputados;
- Semeadura de reputação, onde binários controlados pelo atacante são usados para executar ações mal-intencionadas impulsionadas por vulnerabilidades;
- Adulteração de reputação, que consiste em modificar seções de um programa legítimo para inserir códigos maliciosos sem prejudicar sua reputação geral;
- Exploração de um bug em arquivos de atalho do Windows (LNK) para remover a tag mark-of-the-web (MotW) e assim driblar proteções do SAC.
De acordo com os pesquisadores, os atacantes podem criar arquivos LNK com formatos incomuns que ao serem abertos, são reformatados pelo explorer.exe, resultando na remoção do MotW e evitando as checagens de segurança.
Apesar das proteções baseadas em reputação serem eficazes contra malwares comuns, recomenda-se que as equipes de segurança não confiem exclusivamente nesses recursos nativos do sistema operacional e façam uma verificação minuciosa dos downloads como medida de prevenção adicional.
Para mais notícias e atualizações sobre cibersegurança, continue acompanhando o TecMania.
