Vulnerabilità Zero-Day di Windows Smart App Control
Microsoft ha recentemente risolto una vulnerabilità zero-day critica nel Windows Smart App Control e nel sistema di sicurezza SmartScreen. Questa vulnerabilità è stata sfruttata dagli attaccanti sin dal 2018, permettendo loro di bypassare le funzionalità di sicurezza e lanciare applicazioni e file potenzialmente dannosi senza alcun avviso.
Dettagli della Vulnerabilità
La vulnerabilità, identificata come CVE-2024-38217, permette agli attaccanti di manipolare i file LNK in modo da evadere le controlli di sicurezza del Windows Smart App Control. Questo comporta la rimozione del “Mark of the Web” (MotW) dal file, che è un segnale che le funzionalità di sicurezza di Windows utilizzano per eseguire controlli di sicurezza automatici.
Gli attaccanti possono creare file LNK con percorsi di destinazione non convenzionali o strutture interne non standard. Quando un utente clicca su uno di questi file, Windows Explorer (explorer.exe) aggiorna il file LNK per utilizzare la formattazione canonica, rimuovendo così il MotW e bypassando le controlli di sicurezza.
Come Funziona la Vulnerabilità
Per sfruttare questa vulnerabilità, gli attaccanti possono aggiungere un punto o uno spazio al percorso dell’eseguibile di destinazione (ad esempio, aggiungendo il nome del file come “powershell.exe.”) o creare un file LNK con un percorso relativo come “.\target.exe.” Quando l’utente clicca sul link, Windows Explorer identifica l’eseguibile di destinazione, aggiorna il percorso, rimuove il MotW e lancia il file, bypassando le controlli di sicurezza.
Storia della Vulnerabilità
La vulnerabilità è stata scoperta da Elastic Security Labs, che ha rilevato che i campioni di malware contenenti questa vulnerabilità sono stati trovati su VirusTotal, con il più vecchio risalente a oltre sei anni fa. La compagnia ha condiviso i suoi risultati con il Microsoft Security Response Center, che ha confermato l’esistenza della vulnerabilità e ha affermato che potrebbe essere risolta in un aggiornamento futuro di Windows.
Risoluzione della Vulnerabilità
Microsoft ha risolto la vulnerabilità con un aggiornamento che include correzioni per il Windows Smart App Control e il sistema di sicurezza SmartScreen. Questo aggiornamento è stato rilasciato per proteggere gli utenti contro gli attacchi che utilizzano questa vulnerabilità.
Suggerimenti e Consigli
Per proteggere il proprio sistema da attacchi simili, è importante:
- Monitorare i file scaricati: Controllare i file scaricati, in particolare quelli trovati in posizioni non standard.
- Utilizzare un antivirus aggiornato: Assicurarsi di utilizzare un antivirus aggiornato e di eseguire regolari scan dei file.
- Attivare le funzionalità di sicurezza: Attivare le funzionalità di sicurezza del Windows Smart App Control e del SmartScreen per proteggere il sistema contro applicazioni e file potenzialmente dannosi.
- Eseguire aggiornamenti regolari: Eseguire regolari aggiornamenti del sistema operativo per ricevere le correzioni più recenti e proteggere il sistema contro le nuove vulnerabilità.
La risoluzione della vulnerabilità zero-day nel Windows Smart App Control è un passo importante per la sicurezza dei sistemi Windows. Gli utenti devono continuare a seguire le migliori pratiche di sicurezza e a mantenere i loro sistemi aggiornati per rimanere protetti contro gli attacchi.
Fonte: https://cybersecuritynews.com/windows-smart-app-control-zero-day-finally-fixed/
