Файлы LNK

Злоумышленники используют уязвимость в обработке LNK файлов Windows

### Исследователи выявили уязвимость в Windows, позволяющую обходить защиту

Исследователи из Elastic Security Labs обнаружили уязвимость в обработке Windows LNK файлов, которая позволяет злоумышленникам обходить встроенные меры безопасности и обманывать пользователей, заставляя их запускать вредоносные файлы. Эта проблема, как выяснилось, существует уже более шести лет, что подчеркивает ее устойчивость и скрытность в сфере кибербезопасности.

### Встроенные защиты Windows

Злоумышленники постоянно разрабатывают новые стратегии для обхода защитных мер Microsoft, включая SmartScreen и Smart App Control (SAC). SmartScreen, давно существующая функция безопасности, предназначена для защиты пользователей Windows от потенциально вредоносных веб-страниц и файлов, загруженных из интернета или с ограниченных сайтов. Она работает путем сопоставления файлов с динамическим списком сайтов, на которых отмечены фишинговые и вредоносные программы.

Файлы, помеченные метаданными Mark of the Web (MotW), подвергаются дополнительной проверке. SmartScreen проверяет их по списку разрешенных исполняемых файлов. Если файл не включен в этот список, SmartScreen предотвращает его выполнение и выдает предупреждение. Пользователи могут игнорировать это предупреждение, если администраторы предприятия не внедрили политику, ограничивающую такие действия.

Smart App Control (SAC) также усиливает безопасность, проверяя приложения по базе данных известных безопасных приложений. Как объясняют исследователи, «SAC работает путем запроса к облачному сервису Microsoft при выполнении приложений. Если они известны как безопасные, им разрешается выполняться; однако, если они неизвестны, они будут выполняться только при наличии действительной подписи кода.» При включении SAC он эффективно заменяет и отключает Defender SmartScreen.

### LNK stomping: простой обход MotW

Для обхода этих защитных мер злоумышленники начали подписывать вредоносное ПО легитимными сертификатами подписи кода, использовать репутационные приложения или манипулировать бинарными файлами, чтобы они казались безвредными. Последняя техника, выявленная исследователями и названная «LNK stomping», позволяет злоумышленникам обходить контроль Mark-of-the-Web (MotW) путем создания LNK (ярлыков Windows) файлов с нестандартными путями или внутренними структурами.

Эта манипуляция заставляет Windows канонизировать или «исправлять» путь или структуру файла, эффективно стирая метаданные MotW. В отсутствие этих метаданных SmartScreen и SAC ошибочно классифицируют файл как безопасный, позволяя его выполнение без предупреждения.

Исследователи проиллюстрировали эту уязвимость простыми примерами: добавление точки или пробела к пути исполняемого файла (например, powershell.exe.) или создание LNK файла с относительным путем, таким как .target.exe. Другой вариант включает создание многоуровневого пути в одной записи массива целевого пути LNK.

Детали этой уязвимости были раскрыты Центру реагирования на инциденты безопасности Microsoft, который сообщил о возможном исправлении в будущем обновлении Windows. В ожидании этого исправления исследователи советуют командам безопасности тщательно проверять загрузки в рамках своих систем обнаружения, подчеркивая, что полагаться исключительно на встроенные функции безопасности ОС недостаточно для надежной защиты в данной области.

Как отключить безопасный режим windows 10 через биос?

Для отключения безопасного режима Windows 10 через BIOS выполните следующие шаги: 1. Включите компьютер и сразу нажмите клавишу для входа в BIOS (обычно это F2, F10, Delete, но может различаться). 2. Найдите раздел загрузки (Boot). 3. Найдите опцию «Windows Boot Manager» или другую схожую и установите её в качестве первого загрузочного устройства. 4. Сохраните изменения и выйдите из BIOS. Это вернет вас к нормальной загрузке Windows.

Как отключить безопасный режим windows 10 без пароля?

Чтобы отключить безопасный режим Windows 10 без ввода пароля: 1. Загрузите компьютер в безопасном режиме. 2. Нажмите Win + R, введите msconfig и нажмите Enter. 3. Перейдите на вкладку «Загрузка». 4. Снимите галочку с пункта «Безопасный режим». 5. Нажмите «Применить» и «ОК». 6. Перезагрузите компьютер. Теперь система загрузится в обычном режиме.