Windows Smart App Control e SmartScreen sono facilmente aggirabili: attenzione

Conosciuta in italiano come Controllo intelligente delle app, Windows Smart App Control è una nuova funzionalità di protezione che Microsoft ha introdotto in Windows 11 e che di fatto sostituisce la storica SmartScreen, integrata in Windows 10.

Smart App Control si concentra sulla prevenzione dell’esecuzione di applicazioni non attendibili. Utilizza l’intelligenza artificiale e il machine learning per valutare la sicurezza delle app. Funziona a livello di sistema operativo per bloccare app potenzialmente dannose prima che siano eseguite. Rispetto a SmartScreen è più proattiva nel prevenire minacce sconosciute.

Se l’utente disattiva Smart App Control in Windows 11, il sistema operativo ripiega su SmartScreen. Quest’ultima è una tecnologia più datata, presente fin da Windows 8.x, ed opera principalmente come filtro.

In entrambi i casi, sia Smart App Control che SmartScreen, fanno affidamento sulla presenza del cosiddetto Mark-of-the-Web (MotW). I file che contengono questa speciale etichetta sono quelli che provengono dalla rete Internet, quindi da sistemi potenzialmente inaffidabili: necessitano quindi di particolare attenzione prima dell’apertura (nel caso degli eseguibili) e della visualizzazione (nel caso ad esempio dei documenti).

Una vulnerabilità presente in Windows Smart App Control e SmartScreen abusata dal 2018

Come spiegano i ricercatori di Elastic Security Labs, sia Windows Smart App Control che SmartScreen soffrono di una grave vulnerabilità di sicurezza che consente agli attaccanti di disporre l’apertura di un file proveniente dalla rete Internet senza che il suo contenuto sia sottoposto ad alcun controllo preventivo.

Una semplice indagine su VirusTotal ha fatto emergere che il problema di sicurezza in questione è presente almeno dal 2018 e gli aggressori l’avrebbero sfruttato a più riprese che condurre attacchi informatici particolarmente efficaci. Ovvio che se all’apertura di un file non appare l’avviso mostrato da Windows Smart App Control e SmartScreen, il livello di protezione che il sistema operativo può assicurare ne risulta significativamente ridimensionato. Un file eseguibile che va immediatamente in esecuzione rappresenta un problema concreto.

Come funziona l’attacco che sfrutta le vulnerabilità di Windows

Elastic Security Labs sottolinea che il bug di sicurezza risiede nell’imperfetta gestione dei collegamenti (file .LNK) da parte di Windows Smart App Control e SmartScreen.

Per ottenere l’esecuzione automatica di un file al semplice doppio clic, senza l’intervento delle funzionalità di protezione integrate in Windows, un aggressore non deve fare altro che “costruire” un .LNK contenente un percorso con una struttura inusuale.

Ad esempio, per eludere i controlli di Smart App Control e SmartScreen, basta specificare come destinazione del collegamento un percorso che punta a un eseguibile, aggiungendo alla fine uno spazio oppure un punto (esempio: powershell.exe.). In alternativa, è sufficiente predisporre un file .LNK contente un percorso relativo, come .\file_eseguibile.exe.

Non appena l’utente fa clic sul collegamento, Esplora file provvede a correggere la struttura del percorso di destinazione ma, allo stesso tempo, rimuove il flag MotW disponendo il caricamento immediato dell’eseguibile.

Esaminando i campioni presenti su VirusTotal, secondo Elastic Security Labs, il primo .LNK malevolo che sfrutta la struttura non canonica dei percorsi risale a più di 6 anni fa.

Credit immagine in apertura: iStock.com – Olemedia