威胁行为者一直在滥用 Windows 如何处理具有非标准目标路径和内部结构的 LNK 文件的错误,以防止内置保护阻止恶意负载并诱骗用户运行它们。“我们在VirusTotal中发现了多个样本,这些样本表现出该漏洞,表明存在野外使用。已确定的最早样本是在 6 年前提交的,“Elastic Security Labs 研究人员发现。Windows 的内置保护攻击者不断想出新的方法来绕过 Microsoft 的防御措施,包括 SmartScreen 和 Smart App Control (SAC) 。SmartScreen 是一种较旧的安全功能,旨在保护 Windows 用户免受从 Internet 或受限制站点下载的潜在恶意网页和文件的侵害。前者是根据报告的网络钓鱼站点和恶意软件站点的动态列表进行检查的,而后者默认情况下会向其添加 Web 标记 (MotW) 元数据,SmartScreen 会根据已知可执行文件的允许列表进行检查。如果未列出该文件,SmartScreen 将阻止执行该文件并显示警告。如果企业管理员尚未设置策略来阻止他们这样做,则用户可以覆盖警告并继续操作。Microsoft (Defender) SmartScreen 根据允许列表检查标有 MOTW 的文件。如果未列出该文件,SmartScreen 会提醒用户该文件是未知的,并阻止它执行,除非用户坚持运行它。同样,较新的智能应用控制 (SAC) 会根据已知安全应用列表检查用户想要运行的应用。 “[SAC] 的工作原理是在执行应用程序时查询 Microsoft 云服务。如果已知它们是安全的,则允许它们执行;但是,如果它们是未知的,则只有在它们具有有效的代码签名时才会执行它们。启用 SAC 后,它会替换和禁用 Defender SmartScreen,“研究人员解释说。LNK 踩踏 = 简单的 MotW 旁路攻击者通过使用有效的代码签名证书对恶意软件进行签名,重新利用具有良好声誉的应用程序,或者找到使二进制文件看起来是良性的,以便将它们添加到已知的安全应用程序列表中,从而绕过这些保护措施。这项最新技术被研究人员命名为“LNK stomping”,它允许攻击者通过制作 LNK(即 Windows 快捷方式)文件来绕过 Web 标记 (MOTW) 控制,使它们具有非标准的目标路径或内部结构。此类文件强制 Windows 规范化/“修复”路径/结构,从而“重写”文件并删除 MotW 元数据。如果没有它,SmartScreen 和 SAC 将认为文件是安全的,并在不发出警告的情况下运行它。“这个问题最简单的演示是在目标可执行文件路径(例如,powershell.exe.)后附加一个点或空格。或者,可以创建一个包含相对路径的 LNK 文件,例如 .\target.exe,“他们解释说。“另一种变体涉及在 LNK 目标路径阵列的单个条目中制作多级路径。”研究人员已经向Microsoft安全响应中心披露了该错误的详细信息,该中心显然表示可能会在未来的Windows更新中修复该漏洞。不过,与此同时,他们敦促安全团队“仔细审查其检测堆栈中的下载内容,而不是仅仅依赖操作系统原生安全功能来提供该领域的保护。
