Windows 10や11の「Smart App Control」と「SmartScreen」をすり抜けて警告なしでプログラムが起動できる不具合の存在が判明

Windowsに搭載されているセキュリティ機能である「Smart App Control」と「SmartScreen」に、セキュリティ警告やポップアップ表示なしでプログラムを起動できる設計上の欠陥があることが、セキュリティ企業のElastic Security Labsによって発見されました。

Dismantling Smart App Control — Elastic Security Labs
https://www.elastic.co/security-labs/dismantling-smart-app-control

Researchers Uncover Flaws in Windows Smart App Control and SmartScreen
https://thehackernews.com/2024/08/researchers-uncover-flaws-in-windows.html

Windows Smart App Control, SmartScreen bypass exploited since 2018
https://www.bleepingcomputer.com/news/microsoft/windows-smart-app-control-smartscreen-bypass-exploited-since-2018/

Smart App ControlはWindows 11から導入されているクラウドベースのセキュリティ機能で、悪意あるアプリや信頼できないアプリ、署名されていないアプリが実行されるのをブロックするというものです。

また、SmartScreenはWindows 8から導入された同様の機能で、Smart App Controlが有効でない場合はSmartScreenが代わりに潜在的な悪意のあるコンテンツからWindowsを保護します。

Elastic Security Labsは2024年8月6日に、Smart App ControlとSmartScreenに攻撃者がセキュリティ警告やポップアップなしで初期アクセスを取得できる設計上の欠陥がいくつかあると報告しました。なお、初期アクセスとはサイバー攻撃のターゲットに対する不正アクセスの初期段階のことです。

レポートによると、攻撃者は企業になりすましてExtended Validation(EV)証明書を取得し、これでマルウェアに署名してSmart App Controlを回避しているとのこと。

また、評判のいいアプリを乗っ取る「レピュテーション・ハイジャック」や、「LNKストンピング」と呼ばれるLNKファイルの処理の不具合によっても、Smart App ControlやSmartScreenをくぐり抜けることが可能だとElastic Security Labsは指摘しています。

Elastic Security Labsが、マルウェア検査サイトのVirusTotalでこれらの不具合が悪用された痕跡を調べたところ、最も古い報告は2018年のものでした。つまり、これらのセキュリティ上の欠陥は今回の報告まで6年間にわたって悪用されていることになります。

Elastic Security Labsは「レピュテーションベースの保護システムは、一般的なマルウェアをブロックするための強力なレイヤーですが、どのようなセキュリティ技術にも欠点があり、注意深くその欠点を探せばブロックを回避することが可能です。セキュリティチームは、検出スタックにおけるダウンロードを注意深く精査し、この領域での保護をOSネイティブのセキュリティ機能だけに頼るべきではありません」と述べました。