Aggregator

自 2018 年以来,Windows 智能应用控制和 SmartScreen 绕过技术一直存在漏洞

嘶吼
1 year 7 months ago

智能应用程序控制是一种基于信誉的安全功能,它使用 Microsoft 的应用程序智能服务进行安全预测,并使用 Windows 的代码完整性功能来识别和阻止不受信任(未签名)或潜在危险的二进制文件和应用程序。

它取代了 Windows 11 中的 SmartScreen,后者是 Windows 8 中引入的一项类似功能,旨在防止潜在的恶意内容(未启用智能应用控制时,SmartScreen 将接管)。

当用户尝试打开标有 Web 标记 (MotW) 标签的文件时,这两个功能都会被激活。

Elastic Security Labs 发现,Windows 智能应用控制和 SmartScreen 中存在设计缺陷,处理 LNK 文件时存在一个漏洞(称为 LNK 踩踏),该漏洞使攻击者能够启动程序而不会触发安全警告,可以帮助威胁者绕过旨在阻止不受信任的应用程序的智能应用程序控制安全控制。该缺陷至少自 2018 年以来就一直受到利用。

LNK 破坏涉及创建具有非标准目标路径或内部结构的 LNK 文件。当用户点击此类文件时,explorer.exe 会自动修改 LNK 文件以使用正确的规范格式。

但是,这也会从下载的文件中删除 MotW(Web 标记)标签,Windows 安全功能使用该标签来触发安全检查。

打开下载的文件时发出警告

为了利用此设计缺陷,可以在目标可执行文件路径后附加一个点或空格(例如,在二进制文件的扩展名“powershell.exe”之后),或者创建包含相对路径的 LNK 文件,例如“\target.exe”。

当用户单击链接时,Windows 资源管理器将查找并识别匹配的 .exe 名称,更正完整路径,通过更新磁盘上的文件删除 MotW,然后启动可执行文件。

Elastic Security Labs 认为,这一弱点多年来一直被滥用,因为它在 VirusTotal 中发现了多个旨在利用该弱点的样本,其中最早的样本是在六年多前提交的。

它还与微软安全响应中心分享了这些发现,该中心表示该问题“可能会在未来的 Windows 更新中得到修复”。

智能应用控制 LNK 踩踏演示

Elastic 安全实验室还描述了攻击者可以利用来绕过智能应用控制和 SmartScreen 的其他弱点,包括:

·签名恶意软件:使用代码签名或扩展验证 (EV) 签名证书对恶意负载进行签名。

·声誉劫持:查找并重新利用声誉良好的应用程序来绕过系统。

·声誉植入:将攻击者控制的二进制文件部署到系统上(例如,具有已知漏洞的应用程序或仅在满足某些条件时触发的恶意代码)。

·声誉篡改:在二进制文件中注入恶意代码而不会失去相关声誉。

Elastic Security Labs 认为 Smart App Control 和 SmartScreen 存在一些基本的设计缺陷,可能导致初始访问时没有安全警告,且用户交互最少。

安全团队应在其检测堆栈中仔细审查下载,而不能仅依赖操作系统原生的安全功能来保护这一领域。目前,Elastic Security Labs 研究员已发布用于检查文件智能应用控制信任级别的开源工具。

胡金鱼

EastWind Attack Deploys PlugY and GrewApacha Backdoors Using Booby-Trapped LNK Files

The Hackers News
1 year 7 months ago
The Russian government and IT organizations are the target of a new campaign that delivers a number of backdoors and trojans as part of a spear-phishing campaign codenamed EastWind. The attack chains are characterized by the use of RAR archive attachments containing a Windows shortcut (LNK) file that, upon opening, activates the infection sequence, culminating in the deployment of malware such
The Hacker News

Sonos 智能音箱安全漏洞可能导致用户被窃听

HackerNews
1 year 7 months ago
2024 年美国黑帽大会上,NCC 集团的研究人员披露了在 Sonos 智能扬声器中发现的漏洞,其中包括一个可能被用于窃听用户的漏洞。 其中一个漏洞被追踪为 CVE-2023-50809,可被目标 Sonos 智能扬声器 Wi-Fi 范围内的攻击者利用来远程执行代码。 研究人员演示了攻击者如何利用此漏洞控制 Sonos One 扬声器,秘密录制音频,然后将其泄露到攻击者的服务器。 Sonos 在 8 月 1 日发布的公告中向客户通报了该漏洞,但实际补丁已于去年发布。Sonos 扬声器使用的 Wi-Fi SoC 联发科也在 2024 年 3 月发布了修复程序。 Sonos 表示,该漏洞影响了无线驱动程序,该驱动程序“在协商 WPA2 四次握手时未能正确验证信息元素”。 该供应商表示:“低权限、近距离的攻击者可以利用此漏洞远程执行任意代码。” 此外,NCC 研究人员还发现了 Sonos Era-100 安全启动实现中的漏洞。通过将这些漏洞与之前已知的特权提升漏洞结合起来,研究人员能够以提升的特权实现持久代码执行。 NCC 集团发布了一份包含技术细节的白皮书,以及一段展示其窃听漏洞的视频。   转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络,如有侵权请联系删除
内容转载

Ubuntu 将使用最新内核版本

Solidot
1 year 7 months ago
Canonical 开发的 Ubuntu 发行版每半年发布一个新版本,而 Linux 内核大约每 2-3 个月发布一个新版本,因此 Ubuntu 开发阶段选择使用的版本到正式发布时肯定已经落后于上游的最新稳定版本。现在 Canonical Kernel Team (CKT)宣布将改变内核选择方法,将在发布冻结日期时采用最新可用的内核版本,即使当时内核版本还处于 RC(预发布)状态。这意味着今年 10 月 Ubuntu 24.10 在发布时将使用最新的内核稳定版本 Linux 6.11。

国投智能牵头组建“厦门市警安科技创新联合体”,助推公安工作现代化

嘶吼
1 year 7 months ago

7月26日,厦门市科学技术局发布《厦门市科学技术局关于同意厦门市警安科技创新联合体备案的批复》公告,正式批准了由国投智能牵头,联合厦门大学等2家高校院所、厦门市中盾安信科技有限公司等7家企业组建的“厦门市警安科技创新联合体”备案申请

厦门市警安科技创新联合体将围绕大数据智能化、可信数字身份认证应用、网络空间治理、关键信息基础设施安全和警安装备等警安领域关键技术开展研究,旨在打造具有厦门特色的科技兴警创新联合体,健全完善厦门公安科技创新体系,进一步激发公安科技创新活力,持续提升公安科技服务实战成效,全面推进警务数字化转型,促进公安科技成果转化和厦门警安法务科技产业发展,牵引推动厦门公安工作现代化。同时联合体针对执法部门开展网络空间安全、大数据智能化培训,并举办技术研讨和具有影响力的行业赛事。

据了解,2022年,厦门市科学技术局就发布了《厦门市支持创新联合体建设工作指引》(以下简称《指引》);2023年,市科技局对《指引》进行修订,提出集聚产学研各方优势力量,组建创新联合体,解决制约重点产业发展的“卡脖子”技术和关键核心技术,不断激发企业科技创新活力和内生动力,打造高素质创新名城。

目前,厦门市已经成立9个创新联合体。创新联合体由科技创新资源整合能力强的产业龙头企业、新型研发机构或医疗机构(生命健康领域)牵头,联合产业上下游不少于5-7家企业和不少于2-3家高校、科研院所、医疗机构等科研力量,成员单位一般不少于7个。

企业资讯

Managed ad