{"id":298078,"date":"2024-08-06T01:16:42","date_gmt":"2024-08-05T23:16:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298078"},"modified":"2024-08-06T01:32:03","modified_gmt":"2024-08-05T23:32:03","slug":"schwachstellen-in-windows-smartscreen-und-smart-app-control-seit-2018-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/06\/schwachstellen-in-windows-smartscreen-und-smart-app-control-seit-2018-ausgenutzt\/","title":{"rendered":"Schwachstellen in Windows SmartScreen und Smart App Control seit 2018 ausgenutzt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Im Windows SmartScreen und in Smart App Control gibt es Schwachstellen, die auf Design-Fehlern beruhen. Nun wurde bekannt, dass diese Schwachstellen bereits seit dem Jahr 2018 durch Angreifer ausgenutzt werden. Sicherheitsforscher der Elastic Security Labs haben eine \u00dcbersicht \u00fcber die Probleme und Designschw\u00e4chen der unter Windows verwendeten Sicherheitsfunktionen erstellt und ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Was ist der SmartScreen?<\/h2>\n

\"\"Beim SmartScreen handelt es sich um eine eine Sicherheitsfunktion, die von Microsoft entwickelt wurde. Der SmartScreen-Filter<\/a> ist seit Windows 8 verf\u00fcgbar und ist in Windows sowie im Microsoft Edge-Webbrowser integriert. Die Funktion dient dem Schutz von Benutzern vor potenziell sch\u00e4dlichen Websites, Downloads und Anwendungen, indem er deren Reputation und Gef\u00e4hrdungsgrad analysiert. Eine \u00dcbersicht \u00fcber den Microsoft Defender SmartScreen wurde von Redmond hier<\/a> ver\u00f6ffentlicht.<\/p>\n

Was ist Windows Smart App Control?<\/h2>\n

Bei Windows 11 wurde der SmartScreen durch die eingef\u00fchrte Funktion Smart App Control ersetzt. Es handelt es sich um ein neues Feature, welchen einen Schutz vor neuen und neuen Bedrohungen bieten soll, indem Apps blockiert werden, die b\u00f6swillig oder nicht vertrauensw\u00fcrdig sind. Smart App Control soll auch helfen, potenziell unerw\u00fcnschte Apps zu blockieren, d. h. Apps, die dazu f\u00fchren k\u00f6nnen, dass ein System langsamer l\u00e4uft, weil unerwartete Werbung angezeigt oder zus\u00e4tzliche Software angeboten wird (Adware und PUP). Smart App Control (SAC) wurde mit Windows 11 Version 22H2 (Version 22572 oder h\u00f6her) eingef\u00fchrt. Microsoft hat diese Informationsseite<\/a> zu den Windows Smart App Control-Funktionen ver\u00f6ffentlicht. Vom BSI gibt es dieses Dokument<\/a> mit einigen Informationen.<\/p>\n

Beide Sicherheitsfunktionen verwenden bei Dateien das Mark of the Web-Flag (MotW), um Downloads aus dem Internet zu erkennen. In diesem Bereich musste Microsoft in der Vergangenheit immer wieder Schwachstellen patchen. Und die Schwachstellen wurden durch Angreifer seit Jahren ausgenutzt (siehe zum Beispiel Windows und das \"Mark of the Web\" (MotW) Sicherheitsproblem<\/a>).<\/p>\n

Bugs und Designschw\u00e4chen aufgedeckt<\/h2>\n

Sicherheitsforscher der Elastic Security Labs sind bei der Analyse der Windows Smart App Control (SAC) auf Fehler und Designschw\u00e4chen in Verbindung mit .lnk-Dateien gesto\u00dfen. Die Probleme gelten auch f\u00fcr den \u00e4lteren SmartScreen. Eine M\u00f6glichkeit, Smart App Control zu umgehen, besteht darin, Malware einfach mit einem Code-Signatur-Zertifikat zu signieren. Dann erh\u00e4lt die Anwendung eine h\u00f6here Reputation und wird von den Schutzfunktionen eventuell nicht als sch\u00e4dlich eingestuft.<\/p>\n

Weitere Ans\u00e4tze f\u00fcr Angriffe bestehen in einem Reputing Hijacking, um eine Vertrauensstellung vorzut\u00e4uschen. Skript-Hosts sind ein ideales Ziel f\u00fcr einen Reputation-Hijacking-Angriff, schreiben die Sicherheitsforscher. Dies gilt insbesondere dann, wenn sie \u00fcber eine FFI-Funktion (Foreign Function Interface) verf\u00fcgen. Mit FFI k\u00f6nnen Angreifer problemlos beliebigen Code und Malware in den Speicher laden und ausf\u00fchren. Bei Recherchen der Sicherheitsforscher bei VirusTotal und GitHub haben sie wir viele Skript-Hosts identifiziert, die bekannterma\u00dfen einen guten Ruf haben und f\u00fcr die vollst\u00e4ndige Codeausf\u00fchrung genutzt werden k\u00f6nnen. Dazu geh\u00f6ren Lua, Node.js und AutoHotkey-Interpreter.<\/p>\n

Ein weiterer Angriff auf den Reputationsschutz besteht darin, von Angreifern kontrollierte Bin\u00e4rdateien in das System einzuschleusen. Dabei kann es sich einfach um eine neue Skript-Host-Bin\u00e4rdatei, eine Anwendung mit einer bekannten Sicherheitsl\u00fccke oder eine Anwendung mit einem n\u00fctzlichen Primitiv handeln. Andererseits k\u00f6nnte es sich um eine Bin\u00e4rdatei handeln, die eingebetteten b\u00f6sartigen Code enth\u00e4lt, aber nur nach einem bestimmten Datum oder Umgebungsausl\u00f6ser aktiviert wird. Smart App Control scheint anf\u00e4llig f\u00fcr Seeding zu sein, die Sicherheitsforscher konnten Samples auf einem Rechner ausf\u00fchren und haben festgestellt, dass diese nach 2 Stunden eine gute Reputation in Windows Smart App Control erhalten hatten.<\/p>\n

Eine dritte Angriffsklasse gegen Reputationssysteme ist die Manipulation der Reputation. Normalerweise verwenden Reputationssysteme kryptografisch sichere Hashing-Systeme, um Manipulationen unm\u00f6glich zu machen. Die Sicherheitsforscher haben jedoch festgestellt, dass bestimmte \u00c4nderungen an einer Datei die Reputation f\u00fcr Smart App Control (SAC) nicht zu ver\u00e4ndern scheinen. \u00dcberraschenderweise, schreiben sie, konnten einige Codeabschnitte ge\u00e4ndert werden, ohne dass die damit verbundene Reputation verloren ging.<\/p>\n

Bei der Analyse stellten die Sicherheitsforscher zudem fest, dass es eine MotW-Schwachstelle gibt, die sich \u00fcber Lnk-Dateien ausnutzen l\u00e4sst. Das MotW-Flag wird f\u00fcr eine Datei gesetzt, sobald der Nutzer diese aus dem Internet auf ein Windows-System herunterl\u00e4dt. Der SmartScreen-Filter scannt nur Dateien mit gesetztem Mark of the Web-Flag. Und Smart App Control (SAC) blockiert bestimmte Dateitypen vollst\u00e4ndig, sobald diese das MotW-Flag aufweisen.<\/p>\n

Die Sicherheitsforscher waren in der Lage, dass MotW-Flag zu manipulieren, indem sie LNK-Dateien erstellten, die nicht standardm\u00e4\u00dfige Zielpfade oder interne Strukturen aufweisen. Wenn diese LNK-Dateien angeklickt werden, werden sie von explorer.exe<\/em> mit der kanonischen Formatierung versehen. Diese \u00c4nderung f\u00fchrt dazu, dass die MotW-Kennzeichnung entfernt wird, bevor Sicherheitspr\u00fcfungen durchgef\u00fchrt werden.<\/p>\n

Insgesamt sind die beiden Windows-Sicherheitsfunktionen SmartScreen und Smart App Control (SAC) sehr leicht aushebelbar und im Grunde nutzlos. Die oben skizzierten Schwachstellen werden durch Cyberangreifer seit mindestens 2018 auch praktisch ausgenutzt. Die Sicherheitsforscher der Elastic Security Labs haben ihre Erkenntnisse im Blog-Beitrag Dismantling Smart App Control<\/a> ausf\u00fchrlich dokumentiert.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Windows SmartScreen und in Smart App Control gibt es Schwachstellen, die auf Design-Fehlern beruhen. Nun wurde bekannt, dass diese Schwachstellen bereits seit dem Jahr 2018 durch Angreifer ausgenutzt werden. Sicherheitsforscher der Elastic Security Labs haben eine \u00dcbersicht \u00fcber die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,3288],"class_list":["post-298078","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=298078"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298078\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=298078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=298078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=298078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}