La medida de seguridad estrella de Windows, SmartScreen, te lleva poniendo en peligro desde 2018
El sistema operativo de Microsoft, Windows, desde hace varios años y versiones nos ofrece diversas medidas de seguridad y privacidad. Pero es importante saber que algunas de ellas no siempre son todo lo efectivas que nos gustaría en un principio.
El gigante tecnológico es plenamente consciente de la importancia de la mayoría de sus productos. Quizá Windows sea uno de los más relevantes y utilizados en todo el mundo, de ahí la trascendencia que tiene todo aquello relacionado con la seguridad. No solo incluye su propia solución antivirus, sino que encontramos algunas otras interesantes características relacionadas con este tema.
En este momento os contamos todo ello porque un fallo en la función de SmartScreen, permite a los atacantes lanzar programas sin activar advertencias de seguridad. Y no solo eso, ya que esta es una amenaza que se ha podido explotar desde al menos el pasado año 2018, que no es poco. Algo similar sucede con la función Smart App Control.
Decir que esta es una función basada en la reputación que utiliza los servicios de inteligencia de apps de Microsoft. Todo ello para realizar predicciones de seguridad e integridad de código en Windows.
Esto sirve para identificar y bloquear archivos y programas no fiables, no firmados, o potencialmente peligrosos. Hay que saber que esta característica sustituye a la mencionada SmartScreen en Windows 11. Esta es una función similar que nos llegó con Windows 8 diseñada para protegernos frente a contenidos potencialmente maliciosos que puedan llegar al sistema operativo. Es importante saber que ambas funciones se activan cuando el usuario intenta abrir archivos etiquetados como potencialmente maliciosos.
Smart App Control y SmartScreen ponen Windows en riesgo
El problema ahora viene a partir de un reciente descubrimiento que se ha realizado referente a estas dos funcionalidades de Windows. Por lo que se ha podido comprobar, un error en la gestión de los archivos LNK hace que las amenazas puedan eludir los controles de seguridad de Smart App Control y SmartScreen a la hora de bloquear aplicaciones no fiables.
Decir que LNK stomping se basa en crear archivos LNK con rutas de destino o estructuras internas no estándar. Cuando un usuario hace clic en un fichero de este tipo, el proceso Explorer.exe modifica automáticamente estos archivos para utilizar el formato correcto. Pero esto también elimina la etiqueta MotW o Mark of the Web de los archivos descargados que Windows utiliza para activar una comprobación de seguridad.
De ahí precisamente que desde hace años, los atacantes estén aprovechando este fallo para acceder a los datos almacenados en nuestro ordenador basado en Windows. Por tanto, cuando el usuario pincha en el enlace modificado, Explorer.exe busca e identifica el nombre .exe coincidente, corrige la modificación del atacante, y lanza el ejecutable con el malware incluido.
Esta es una vulnerabilidad que lleva entre nosotros en torno a seis años, a través de la cual se han llevado a cabo múltiples campañas y ataques. Con el fin de protegernos en la medida de lo posible frente a este fallo, un investigador de la empresa que lo ha descubierto acaba de publicar una aplicación de código abierto que podéis descargar desde aquí. Esta nos ayuda a comprobar el nivel de fiabilidad de los archivos.