Про Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday 10 сентября. Уязвимость зарепортил исследователь Joe Desimone из Elastic Security. 6 августа вышел его блог-пост "Демонтаж Smart App Control", в котором, среди прочего сообщалось о методе обхода Mark of the Web под названием "LNK Stomping". Ряд источников связывают уязвимость CVE-2024-38217 и этот метод.
В чём суть. Злоумышленник создаёт LNK-файл с нестандартными целевыми путями или внутренними структурами. Например, добавляет точку или пробел к пути до целевого исполняемого файла. При клике на такой LNK-файл explorer.exe автоматически приводит его форматирование к каноническому виду, что приводит к удалению метки MotW до выполнения проверок безопасности. 🤷♂️ В блог-посте есть ссылка на PoC эксплоита.
Сообщается о наличии семплов на VirusTotal (самый старый от 2018 года), эксплуатирующих данную уязвимость.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.