Menu dostępności

LNK stomping

LNK stomping ­– nowa technika omijania zabezpieczeń Windows. Na czym polega?

Złośliwi aktorzy wykorzystują lukę w sposobie, w jaki system Windows przetwarza pliki LNK z niestandardowymi ścieżkami docelowymi i wewnętrznymi strukturami, aby obejść wbudowane zabezpieczenia i nakłonić użytkowników do uruchomienia złośliwego oprogramowania.

Podobnie jak w przypadku ostatnio opisywanej przez nas luki BITSLOTH, tak i teraz odkrycia dokonali badacze z Elastic Security Labs. Na swoim blogu piszą, że zidentyfikowali wiele próbek w VirusTotal, które korzystają z tego błędu, co dowodzi, że jest on aktywnie wykorzystywany. Najstarsza znaleziona próbka została przesłana ponad 6 lat temu.

Mechanizmy Windows do ochrony przed złośliwymi plikami pobieranymi z Internetu

Zanim przejdziemy do opisu obejścia bezpieczeństwa, warto wspomnieć, jakie wbudowane mechanizmy ochrony przed złośliwymi plikami pobieranymi z Internetu posiada system Windows.

Funkcja SmartScreen

SmartScreen to starsza funkcja ochrony, której celem jest zabezpieczanie użytkowników systemu Windows przed potencjalnie złośliwymi stronami internetowymi i plikami pobieranymi z sieci.

Strony te są sprawdzane na podstawie dynamicznej listy zgłoszonych witryn phishingowych oraz zawierających złośliwe oprogramowanie. Z kolei pliki pobrane z Internetu są oznaczane metadanymi Mark of the Web (MotW) i weryfikowane przez SmartScreen na podstawie listy dozwolonych znanych plików wykonywalnych. Jeśli plik nie znajduje się na tej liście, SmartScreen blokuje jego uruchomienie i wyświetla ostrzeżenie. Użytkownicy mogą je jednak zignorować, o ile administratorzy przedsiębiorstwa nie ustawili odpowiednich restrykcji.

Przypominamy, że Mark-of-the-Web (MotW) jest często wykorzystana przez cyberprzestępców do dostarczania złośliwego oprogramowania.

Windows dodaje MotW do plików pochodzących z niezaufanych lokalizacji, w tym tych do pobrania z przeglądarki oraz załączników do wiadomości e-mail. Podczas próby otwarcia plików za pomocą MotW użytkownicy są ostrzegani o potencjalnym ryzyku lub, w przypadku pakietu Office, makra są blokowane, aby zapobiec wykonaniu złośliwego kodu.

Funkcja Smart App Control

Nowsza funkcja Smart App Control (SAC) podobnie sprawdza aplikacje, które użytkownicy chcą uruchomić, na liście znanych bezpiecznych aplikacji.

SAC działa poprzez przeszukiwanie chmury Microsoft podczas uruchamiania aplikacji. Jeśli aplikacja jest uznana za bezpieczną, może zostać uruchomiona. Jednak jeśli jest nieznana, zostanie uruchomiona tylko wtedy, gdy ma prawidłowy podpis kodu. Po włączeniu SAC zastępuje i wyłącza Defender SmartScreen.

LNK stomping – omijanie MoTW

Atakujący omijają te zabezpieczenia, podpisując złośliwe oprogramowanie ważnymi certyfikatami podpisu kodu, wykorzystując aplikacje o dobrej reputacji lub sprawiając, że binaria wyglądają na nieszkodliwe, dzięki czemu trafiają na listę znanych bezpiecznych aplikacji.

Najnowsza technika, nazwana przez badaczy „LNK stomping”, pozwala atakującym ominąć kontrolę Mark-of-the-Web poprzez tworzenie plików LNK (skrótów Windows) z niestandardowymi ścieżkami docelowymi lub strukturami wewnętrznymi.

Taki plik wymusza na systemie Windows „naprawienie” ścieżki/struktury, co skutkuje „przepisaniem” pliku i usunięciem metadanych MotW. W efekcie SmartScreen i SAC uznają plik za bezpieczny i uruchamiają go bez ostrzeżenia.

Badacze ujawnili szczegóły błędu Microsoft Security Response Center, który najwyraźniej zapowiedział, że może on zostać naprawiony w przyszłej aktualizacji systemu Windows.

Demo LNK Stomping. Źródło: Elastic Security Labs

Tymczasem badacze zalecają zespołom ds. bezpieczeństwa dokładne sprawdzanie pobrań w ich systemach detekcji i niepoleganie wyłącznie na natywnych funkcjach zabezpieczeń systemu operacyjnego w omawianej kwestii.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...