往期回顾:
智能应用程序控制是一种基于信誉的安全功能,它使用 Microsoft 的应用程序智能服务进行安全预测,并使用 Windows 的代码完整性功能来识别和阻止不受信任(未签名)或潜在危险的二进制文件和应用程序。
它取代了 Windows 11 中的 SmartScreen,后者是 Windows 8 中引入的一项类似功能,旨在防止潜在的恶意内容(未启用智能应用控制时,SmartScreen 将接管)。
当用户尝试打开标有 Web 标记 (MotW) 标签的文件时,这两个功能都会被激活。
Elastic Security Labs 发现,Windows 智能应用控制和 SmartScreen 中存在设计缺陷,处理 LNK 文件时存在一个漏洞(称为 LNK 踩踏),该漏洞使攻击者能够启动程序而不会触发安全警告,可以帮助威胁者绕过旨在阻止不受信任的应用程序的智能应用程序控制安全控制。该缺陷至少自 2018 年以来就一直受到利用。
LNK 破坏涉及创建具有非标准目标路径或内部结构的 LNK 文件。当用户点击此类文件时,explorer.exe 会自动修改 LNK 文件以使用正确的规范格式。
但是,这也会从下载的文件中删除 MotW(Web 标记)标签,Windows 安全功能使用该标签来触发安全检查。
打开下载的文件时发出警告
为了利用此设计缺陷,可以在目标可执行文件路径后附加一个点或空格(例如,在二进制文件的扩展名“powershell.exe”之后),或者创建包含相对路径的 LNK 文件,例如“\target.exe”。
当用户单击链接时,Windows 资源管理器将查找并识别匹配的 .exe 名称,更正完整路径,通过更新磁盘上的文件删除 MotW,然后启动可执行文件。
Elastic Security Labs 认为,这一弱点多年来一直被滥用,因为它在 VirusTotal 中发现了多个旨在利用该弱点的样本,其中最早的样本是在六年多前提交的。
它还与微软安全响应中心分享了这些发现,该中心表示该问题“可能会在未来的 Windows 更新中得到修复”。
智能应用控制 LNK 踩踏演示
Elastic 安全实验室还描述了攻击者可以利用来绕过智能应用控制和 SmartScreen 的其他弱点,包括:
·签名恶意软件:使用代码签名或扩展验证 (EV) 签名证书对恶意负载进行签名。
·声誉劫持:查找并重新利用声誉良好的应用程序来绕过系统。
·声誉植入:将攻击者控制的二进制文件部署到系统上(例如,具有已知漏洞的应用程序或仅在满足某些条件时触发的恶意代码)。
·声誉篡改:在二进制文件中注入恶意代码而不会失去相关声誉。
Elastic Security Labs 认为 Smart App Control 和 SmartScreen 存在一些基本的设计缺陷,可能导致初始访问时没有安全警告,且用户交互最少。
安全团队应在其检测堆栈中仔细审查下载,而不能仅依赖操作系统原生的安全功能来保护这一领域。目前,Elastic Security Labs 研究员已发布用于检查文件智能应用控制信任级别的开源工具。
7月26日,厦门市科学技术局发布《厦门市科学技术局关于同意厦门市警安科技创新联合体备案的批复》公告,正式批准了由国投智能牵头,联合厦门大学等2家高校院所、厦门市中盾安信科技有限公司等7家企业组建的“厦门市警安科技创新联合体”备案申请。
厦门市警安科技创新联合体将围绕大数据智能化、可信数字身份认证应用、网络空间治理、关键信息基础设施安全和警安装备等警安领域关键技术开展研究,旨在打造具有厦门特色的科技兴警创新联合体,健全完善厦门公安科技创新体系,进一步激发公安科技创新活力,持续提升公安科技服务实战成效,全面推进警务数字化转型,促进公安科技成果转化和厦门警安法务科技产业发展,牵引推动厦门公安工作现代化。同时联合体针对执法部门开展网络空间安全、大数据智能化培训,并举办技术研讨和具有影响力的行业赛事。
据了解,2022年,厦门市科学技术局就发布了《厦门市支持创新联合体建设工作指引》(以下简称《指引》);2023年,市科技局对《指引》进行修订,提出集聚产学研各方优势力量,组建创新联合体,解决制约重点产业发展的“卡脖子”技术和关键核心技术,不断激发企业科技创新活力和内生动力,打造高素质创新名城。
目前,厦门市已经成立9个创新联合体。创新联合体由科技创新资源整合能力强的产业龙头企业、新型研发机构或医疗机构(生命健康领域)牵头,联合产业上下游不少于5-7家企业和不少于2-3家高校、科研院所、医疗机构等科研力量,成员单位一般不少于7个。
近日,经严格评估及审核,国投智能顺利通过CMMI五级认证,并荣获CMMI5级证书,标志着国投智能在软件研发管理体系、项目管理水平等方面均已达到国际领先水平,能够为客户提供更完善、成熟、优质的产品及服务。
关于CMMI
CMMI全称Capability Maturity Model Integration(能力成熟度集成模型),是全球公认的权威标准,旨在衡量企业研发能力成熟度和项目管理水平,其中CMMI5为最高等级。能否通过CMMI认证已经成为业内衡量软件企业工程开发能力的重要标志之一。
公司于2016年初开始进行高成熟度体系搭建、量化管理和持续创新方面的革新,持续优化产品研发与管理的过程,坚持自主研发,不断提升公司核心竞争力。
此次荣获CMMI5级认证,标志着国投智能在软件研发领域的卓越追求与创新实践取得了显著成效,也成为了公司研发体系向标准化、规范化以及国际化进程迈进的一座重要里程碑,彰显了公司在行业内的领先地位与持续优化的能力。
未来,国投智能将持续以CMMI5为基础,进行过程改进,不断开拓创新,不断提高产品的质量和公司管理水平,以客户为中心,持续提供优质产品及服务,创造企业价值!