¿Conoces esa advertencia que aparece cada vez que quieres instalar una nueva aplicación en Windows? ¿La que a veces te impide hacerlo cuando una aplicación parece un poco sospechosa? Sí, está averiada… y es estado desmantelada, durante al menos seis años, según una investigación de seguridad reciente.
Windows Smart App Control (como se lo llama en Windows 11) o Windows SmartScreen (como se lo conoce en Windows 8 y Windows 10) está diseñado para colocar una barrera adicional cuando te relacionas con archivos ejecutables que se descargan de fuentes no reconocidas.
Pero Elastic Security Labs descubrió que es sorprendentemente fácil evitarlo, permitiendo que aplicaciones maliciosas se ejecuten sin la verificación estándar.
El método más sencillo se denomina “LNK stomping”, que evita el identificador Mark of the Web que el sistema de seguridad integrado de Windows coloca en los archivos. Es posible crear firmas de código no válidas en archivos JavaScript y MSI, o simplemente evitar la comprobación añadiendo un solo punto o espacio a una ruta ejecutable. Es una especie de juego de gestión de archivos que la mayoría de los usuarios no detectarían, pero que es “trivial” de implementar con un pequeño script por parte de piratas informáticos y otros malhechores.
Elastic Security Labs descubrió otras muchas formas de eludir SmartScreen y Smart App Control, como el secuestro de reputación, la propagación de reputación y la manipulación de reputación. En la página se incluyen ejemplos y desgloses técnicos (¡incluidos algunos GIF animados muy bonitos!). Los investigadores han creado una herramienta de código abierto para comprobar si existen estas soluciones alternativas en los archivos potencialmente peligrosos.
Estas vulnerabilidades de SmartScreen parecen haber estado presentes desde al menos 2018, según BleepingComputerSi bien eso es desalentador, Microsoft tiende a tomar en serio este tipo de amenazas una vez que las descubre, como cuando… Una actualización de Windows en abril reforzó algunas vulnerabilidades en el sistema Mark of the Web.
Sigue leyendo: ¿Es la seguridad integrada de Windows suficiente para los usuarios habituales?
