Windows の Smart App Control と SmartScreen の欠陥:研究者たちが指摘する回避方法とは?

Researchers Uncover Flaws in Windows Smart App Control and SmartScreen

2024/08/05 TheHackerNews — Microsoft の Windows Smart App Control と SmartScreen に設計上の弱点があること、サイバー・セキュリティ研究者たちが明らかにした。Microsoft が Windows 11 で導入した Smart App Control (SAC) は、クラウド・パワーのセキュリティ機能であり、悪意のある、信頼できない、また、潜在的に望ましくないアプリが、システム上で実行されるのをブロックするものだ。また、このサービスにより、アプリについて推測が不可能な場合には、そのアプリの署名の有無や、署名の有効性についてチェックし、実行できるようにする。

Windows 10 と同時にリリースされた SmartScreen も同様のセキュリティ機能であり、ダウンロードしたサイトやアプリ自身における、悪意の可能性の有無を判断する。また、URL とアプリの保護には評判ベースのアプローチを活用している。

Smart App Control and SmartScreen


Microsoft は、「Defender SmartScreen は、Web サイトの URL を評価し、安全でないコンテンツを配布/ホストしている経歴について判断する。さらに、アプリの評価チェックを提供し、ダウンロードされたプログラムやファイルに対するデジタル署名をチェックする。URL/ファイル/アプリ/証明書において、確立された評判がある場合には、ユーザーに対する警告は表示されない。その一方で、条件が満たされない場合には、そのアイテムは高リスクとしてマークされ、ユーザーに警告が表示される」と述べている。

SAC (Smart App Control) が有効化されると、Defender SmartScreen が置き換えられて無効化されることも特筆に値する。

Elastic Security Labs は、「Smart App Control と SmartScreen には、根本的な設計上の弱点が数多くある。それらにより、セキュリティ警告は表示されず、また、最小限のユーザー操作によりイニシャル・アクセスを許してしまう」と、The Hacker Newsと共有したレポートで述べている。

これらの保護を回避する際の、最も簡単な方法の1つは、正規の EV (Extended Validation) 証明書で署名されたアプリを入手することである。

Smart App Control and SmartScreen


検出を回避するための、その他の手法としては、以下のようなものがある。

  • レピュテーション・ハイジャッキング:システムを回避するために、評判の良いアプリを特定し、再利用する (例:JamPlus などの既知の AutoHotkey インタプリタ)。
  • レピュテーション・シーディング:一見無害に見える攻撃者が制御するバイナリを使用して、アプリケーションの脆弱性に起因する悪意の動作をトリガーする。
  • レピュテーションの改ざん:正当なバイナリ (電卓など) の特定セクションを変更して、全体のレピュテーションを失うことなくシェルコードを注入する。
  • LNK ストンピング):Windows ショートカットである、LNK ファイルの処理方法のバグを悪用する。MotW (Mark of Web) タグを削除し、このラベルを持つファイルをブロックするという、SAC 保護を逆手に取る。

研究者たちは、「これらの回避手法には、非標準的なターゲット・パスや内部構造を持つ、LNK ファイルの作成も含まれる。それらの LNKファイルがクリックされると、explorer.exe により正規フォーマットに変更される。この修正により、セキュリティ・チェックが実行される前に、MotW ラベルが削除される」と指摘している。

彼らは、「評判ベースの保護システムは、コモディティ・マルウェアをブロックするための強力なレイヤーである。しかし、どのような保護技術にも弱点があり、注意を払えば回避することは可能である。セキュリティ・チームにとって必要とされるのは、検出スタックの中でダウンロードを注意深く精査し、OS ネイティブのセキュリティ機能だけに頼らないようにすることである」と付け加えている。

訳者追記:8月9日付で、Windows Smart App Control, SmartScreen Vulnerable to Exploits という記事がポストされています。悪用が観測されているようです。

クラウドに蓄積された、多種多様なマルアプリなどの情報を元に、それらの実行を阻止する Smart App Control と SmartScreen ですが、設計上の弱点があると、研究者たちに指摘されています。文中にもあるように、それぞれの防御策には、それぞれの弱点があると思ったほうが良さそうですね。よろしければ、カテゴリ LOLBin と、SmartScreen で検索も、ご利用ください。