Windows Smart App ControlおよびSmartScreenのバイパス欠陥、2018年から悪用される:CVE-2024-38217 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Windows Smart App ControlおよびSmartScreenのバイパス欠陥、2018年から悪用される:CVE-2024-38217

Threat Report

LNK stomping

Mark of the Web

MotW

Windows Smart App ControlおよびSmartScreenのバイパス欠陥、2018年から悪用される:CVE-2024-38217

佐々山 Tacos

佐々山 Tacos

2024.08.06

Windows Smart App ControlおよびSmartScreenのバイパス欠陥、2018年から悪用される

BleepingComputer – August 5, 2024

Windowsのセキュリティ機能Smart App Control(スマートアプリコントロール)およびSmartScreenにおける設計上の欠陥が、遅くとも2018年から悪用されているとみられることが明らかに。Elastic Security Labsが新たなブログ記事で報告している。

Smart App ControlとSmartScreenはいずれも、Mark of the Web(MotW)フラグ付きのファイルをユーザーが開こうとした際に有効化される機能で、有害な恐れのあるコンテンツをブロックする役割を持つ。しかし、LNKファイルの処理における欠陥「LNK stomping」を悪用することで、脅威アクターたちはこのセキュリティ措置をバイパスすることが可能だという。

LNK stompingの悪用は、LNKファイルを非標準的なターゲットパスや内部構造が含まれるものに細工することによって行われる。ユーザーがこのようなファイルをクリックすると、explorer.exeにより自動で正しいcanonical形式を使うものへとLNKファイルが修正されるのに加え、MotWラベルも取り除かれてファイル実行が可能になってしまうのだという。

Elastic Security Labsは、この欠陥が数年前から悪用されていると考えている。VirusTotal内の関連するサンプルの中で最も古いものは6年以上前にアップされていたことから、遅くとも2018年には悪用が始まっていた可能性が高い。この問題はマイクロソフトに報告されているが、同社は「今後のWindowsアップデートで修正されるかもしれない」としており、現時点でパッチはリリースされていない。Elastic Security Labsは防御者向けに対策を提供しているほか、任意のファイルのSmart App Controlでのトラストレベルをチェックできるオープンソースツールも公開している。

(Update:2024年9月11日)この脆弱性(CVE-2024-38217)は2024年9月のマイクロソフト月例セキュリティ更新プログラムで修正された。詳しくは以下の記事で:

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ