自2018年一直被黑客利用,Windows又一“后门”揭秘
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Windows智能应用控制和智能屏幕存在设计缺陷,允许攻击者绕过安全控制启动程序。漏洞可通过LNK文件处理中的错误实现,攻击者可添加点或空格到目标可执行文件路径,或创建包含相对路径的LNK文件。该漏洞已被滥用多年,微软安全响应中心表示将在未来的Windows更新中解决。Elastic安全实验室还描述了其他绕过智能应用控制和智能屏幕的方法。安全团队应仔细审查下载内容,而不仅依赖操作系统的原生安全功能。
🎯
关键要点
- Windows智能应用控制和智能屏幕存在设计缺陷,允许攻击者绕过安全控制启动程序。
- 该漏洞自2018年以来一直被利用,涉及LNK文件处理中的错误。
- 攻击者可以通过添加点或空格到目标可执行文件路径,或创建包含相对路径的LNK文件来利用该漏洞。
- Elastic安全实验室发现多个利用此漏洞的样本,并与微软安全响应中心共享了这些发现。
- 微软表示将在未来的Windows更新中解决该问题。
- Elastic安全实验室还描述了其他绕过智能应用控制和智能屏幕的方法,包括签名恶意软件和信誉篡改。
- 安全团队应仔细审查下载内容,而不仅依赖操作系统的原生安全功能。
- Elastic安全实验室发布了相关信息和开源工具,帮助防御者识别这种活动。
❓
延伸问答
Windows智能应用控制和智能屏幕的设计缺陷是什么?
这两个功能存在设计缺陷,允许攻击者绕过安全控制启动程序,至少自2018年以来一直被利用。
攻击者如何利用LNK文件处理中的错误?
攻击者可以通过添加点或空格到目标可执行文件路径,或创建包含相对路径的LNK文件来利用该漏洞。
微软对这个漏洞的回应是什么?
微软安全响应中心表示将在未来的Windows更新中解决该问题。
Elastic安全实验室发现了哪些其他绕过安全控制的方法?
他们发现了签名恶意软件、信誉劫持和信誉篡改等方法,可以绕过智能应用控制和智能屏幕。
安全团队应该如何应对这个漏洞?
安全团队应仔细审查下载内容,而不仅依赖操作系统的原生安全功能。
Elastic安全实验室提供了什么工具来帮助防御者?
Elastic安全实验室发布了一个开源工具,用于检查文件的智能应用控制信任级别。
➡️
