**Уязвимости в системе безопасности Microsoft: что нужно знать бизнесу**
Недавние исследования в области кибербезопасности выявили значительные уязвимости в защитных функциях Microsoft, таких как Windows Smart App Control (SAC) и SmartScreen. Эти недостатки могут позволить злоумышленникам проникнуть в целевые системы без срабатывания каких-либо предупреждений безопасности.
Windows Smart App Control, введенный в Windows 11, предназначен для предотвращения выполнения вредоносных, недоверенных и потенциально нежелательных приложений. Если служба не может определить безопасность приложения, она проверяет, подписано ли приложение или имеет ли оно действительную подпись перед разрешением на выполнение. SmartScreen, представленный в Windows 10, оценивает, представляет ли веб-сайт или загруженное приложение угрозу, используя методологию на основе репутации для защиты URL-адресов и приложений.
Однако, когда активирован Smart App Control, он отключает Defender SmartScreen, что вызывает вопросы о целостности общей системы безопасности. Исследователи из Elastic Security Labs сообщили, что обе функции имеют фундаментальные конструктивные недостатки, которые могут облегчить начальный доступ с минимальным взаимодействием пользователя и без предупреждений безопасности.
Одним из распространенных методов обхода этих защит является получение легитимного сертификата Extended Validation (EV) для приложения — тактика, уже использованная злоумышленниками в недавнем инциденте с HotPage. Другие методы включают:
— **Угон репутации**: использование приложений с хорошей репутацией для обхода системы безопасности.
— **Посев репутации**: маскировка управляемого злоумышленником бинарного файла под безобидное приложение для последующего выполнения вредоносных действий.
— **Подделка репутации**: изменение определенных частей легитимного бинарного файла для внедрения вредоносного кода.
— **LNK Stomping**: использование уязвимости в обработке файлов ярлыков (LNK) в Windows для удаления метки «mark-of-the-web» (MotW), что позволяет обойти защиту SAC.
Исследователи отметили: «Эти методы включают создание LNK-файлов с нестандартными путями или внутренними структурами. При активации эти файлы переформатируются explorer.exe, что приводит к удалению метки MotW до проведения проверок безопасности».
Несмотря на то, что системы защиты на основе репутации предлагают надежный уровень защиты от обычного вредоносного ПО, они не являются непогрешимыми. Как подчеркнули исследователи, «любая техника защиты имеет слабые места, которые можно обойти при определенной осторожности». В связи с этим командам безопасности рекомендуется тщательно проверять загрузки в рамках своих систем обнаружения, а не полагаться исключительно на встроенные функции операционной системы.
Для бизнеса это означает необходимость пересмотра и усиления мер кибербезопасности, чтобы минимизировать риски и защитить корпоративные данные от потенциальных угроз.