« Les mauvaises applications contournent les alertes de sécurité de Windows depuis six ans en utilisant un nouveau tour récemment dévoilé. »

Elastic Security Labs a levé le voile sur une série de méthodes disponibles pour les attaquants qui souhaitent exécuter des applications malveillantes sans déclencher les avertissements de sécurité de Windows, dont une en cours d’utilisation depuis six ans. La recherche s’est concentrée sur les moyens de contourner Windows SmartScreen et Smart App Control (SAC), les protections intégrées par défaut contre l’exécution de logiciels potentiellement nuisibles téléchargés sur le web dans Windows 8 et 11 respectivement. Parmi les techniques découvertes par Joe Desimone, chef de projet technique chez Elastic, se trouvait celle qu’il a surnommée « LNK Stomping », un bug dans la façon dont les fichiers de raccourci Windows (.LNK) sont gérés, annulant la Marque du Web de Windows (MotW) – une balise numérique placée sur les fichiers téléchargés qui pourraient être malveillants s’ils sont exécutés. SmartScreen ne scanne que les fichiers marqués avec MotW et SAC est configuré pour bloquer certains types de fichiers s’ils sont marqués, donc toute méthode pouvant contourner MotW sera naturellement un atout pour les malfaiteurs de logiciels malveillants. Ce n’est pas la première technique de contournement de MotW introduite au fil des ans, mais le fait qu’elle soit utilisée depuis si longtemps et, comme l’a dit Desimone, est « triviale » à exploiter, la rend digne d’intérêt pour les défenseurs qui prendront le temps de comprendre son fonctionnement.

Share the Post: