Windows智能應用控制（Smart App Control）和智能屏幕（SmartScreen）存在一個設計缺陷，該缺陷允許攻擊者在不觸發安全警告的情況下啟動程序，至少自2018年以來一直在被利用。

智能應用控制是一項基于信任的安全功能，它使用微軟的應用智能服務進行安全預測，并利用Windows的代碼完整性功能來識別和阻止不受信任的（未簽名的）或潛在危險的二進制文件和應用程序。

它在Windows 11中取代了智能屏幕，智能屏幕是Windows 8中引入的一個類似功能，旨在保護用戶免受潛在惡意內容的侵害（當智能應用控制未啟用時，智能屏幕將接管）。當用戶嘗試打開帶有“Web標記”（MotW）標簽的文件時，這兩個功能都會被激活。

正如Elastic安全實驗室所發現的，LNK文件處理中的一個錯誤（被稱為LNK踩踏）可以幫助威脅行為者繞過智能應用控制的安全控制，這些控制旨在阻止不受信任的應用程序。

LNK踩踏包括創建具有非標準目標路徑或內部結構的LNK文件，當用戶點擊這樣的文件時，explorer.exe會自動修改LNK文件以使用正確的規范格式。

打開下載文件時的警告(BleepingComputer)

但是，這也從下載的文件中移除了MotW（Web標記），Windows安全功能使用該標簽來觸發安全檢查。

要利用這個設計缺陷，可以向目標可執行文件路徑添加一個點或空格（例如，在二進制文件的擴展名后加一個點，如"powershell.exe."），或創建一個包含相對路徑的LNK文件，如".\target.exe"。

當用戶點擊鏈接時，Windows資源管理器將查找并識別匹配的.exe名稱，修正完整路徑，通過更新磁盤上的文件來移除MotW，并啟動可執行文件。

Elastic安全實驗室認為，這一漏洞多年來一直被濫用，因為他們在VirusTotal中發現了多個利用此漏洞的樣本，其中最早的提交時間超過六年。

智能應用控制LNK踩踏演示（Elastic安全實驗室）

他們已經將這些發現與微軟安全響應中心共享，后者表示問題可能在未來的Windows更新中得到解決。

此外，Elastic安全實驗室還描述了其他可以被攻擊者利用來繞過智能應用控制和SmartScreen的弱點，包括：

• 簽名惡意軟件：使用代碼簽名或擴展驗證（EV）簽名證書簽署惡意負載
• 信譽劫持：尋找并重新利用信譽良好的應用程序以繞過系統
• 信譽種植：在系統中部署攻擊者控制的二進制文件（例如，帶有已知漏洞的應用程序或僅在滿足特定條件時才會觸發的惡意代碼）
• 信譽篡改：在不丟失相關信譽的情況下向二進制文件注入惡意代碼

Elastic安全實驗室警告說，智能應用控制和智能屏幕存在一些基本設計缺陷，可以允許在沒有安全警告和用戶交互最少的情況下進行初始訪問。

安全團隊應該仔細審查他們的檢測堆棧中的下載內容，而不是僅僅依賴操作系統的原生安全功能來提供這方面的保護。

Elastic安全實驗室發布相關信息及檢測邏輯和應對措施，旨在幫助防御者在補丁可用之前識別這種活動。該實驗室的研究員Joe Desimone已經發布了一個開源工具，用于檢查文件的智能應用控制信任級別。

參考來源：https://www.bleepingcomputer.com/news/microsoft/windows-smart-app-control-smartscreen-bypass-exploited-since-2018/