Windows

マイクロソフトは、少なくとも2018年以降ゼロデイとして攻撃に悪用されてきたWindows Smart App ControlおよびSmartScreenの欠陥を修正した。

脆弱なシステム上で、脅威行為者はこの脆弱性(現在はCVE-2024-38217として追跡されている)を悪用して、Smart App ControlとMark of the Web(MotW)セキュリティ機能を回避し、信頼されていない、あるいは潜在的に危険なバイナリやアプリを警告なしに起動させている。

「この脆弱性を悪用するには、攻撃者が管理するサーバー上でファイルをホストし、標的となるユーザーにそのファイルをダウンロードして開くよう仕向けます。これにより、攻撃者はウェブ機能のマークを妨害することができる」と、マイクロソフトは本日発表したセキュリティ勧告で説明している。

「攻撃者は、Mark of the Web(MOTW)防御を回避する悪意のあるファイルを作成することができ、その結果、SmartScreen Application Reputationセキュリティチェックや従来のWindows Attachment Servicesセキュリティプロンプトなどのセキュリティ機能の整合性や可用性が限定的に失われます。

Windows 11のスマートAppコントロールは、マイクロソフトのアプリインテリジェンスサービスとコードインテグリティ機能を使用して、潜在的に有害なアプリまたはバイナリを検出し、ブロックします。

これは、Windows 11のSmartScreenに取って代わるものですが、悪意のあるコンテンツから保護するためにSmart App Controlが有効になっていない場合は、SmartScreenが自動的に引き継ぎます。どちらのセキュリティ機能も、ユーザーが「Mark of the Web」ラベルの付いたファイルを開こうとすると有効になる。

先月、Elastic Security Labsは、LNKストンピングとして知られるLNKファイルの取り扱いに関する欠陥として、CVE-2024-38217を公表した。この欠陥により、攻撃者は、信頼できないアプリケーションの起動をブロックするSmart App Controlのセキュリティ機能を回避することができます。

Smart App Control LNK stomping demo
Smart App ControlのLNKストンプのデモ(Elastic Security Labs)

LNKストンプは、型破りなターゲットパスや内部構造を持つLNKファイルを作成します。ユーザーがこれらのファイルの1つをクリックすると、Windowsエクスプローラ(explorer.exe)は自動的にLNKファイルを正規の書式を使用するように調整します。しかし、このプロセスは、ダウンロードされたファイルから「Mark of the Web」(MotW)ラベルを削除してしまう。

この欠陥を悪用するには、攻撃者はターゲットの実行可能パスにドットやスペースを追加するか(例えば、”powershell.exe. “のようなバイナリ名に追加する)、”.˶target.exe. “のような相対パスでLNKファイルを作成する。ターゲットがリンクをクリックすると、Windowsエクスプローラーは正しい実行ファイルを識別し、パスを更新し、MotWラベルを削除し、セキュリティチェックをバイパスしてファイルを起動する。

Elastic Security Labsは8月、VirusTotalで複数のサンプルが見つかっており、最も古いサンプルは6年以上前にさかのぼることから、この脆弱性は何年も前から悪用されてきたと信じるに足る根拠があると述べた。

同社はこの発見をマイクロソフト・セキュリティ・レスポンス・センターと共有し、同センターはこの問題を認め、「将来のWindowsアップデートで修正される可能性がある」と述べた。

Elastic Security Labsの研究者Joe Desimone氏は、ファイルのSmart App Control信頼レベルを評価するオープンソースツールも開発し、公開している