自 2018 年以来，Windows 智能应用控制和 SmartScreen 绕过技术一直存在漏洞

主要观点总结

本文主要介绍了Windows的智能应用程序控制（Smart App Control）和SmartScreen功能中的设计缺陷，特别是处理LNK文件时的漏洞（LNK踩踏）。该漏洞允许攻击者绕过安全警告启动程序。Elastic Security Labs发现了这个问题，并分享了其他弱点，包括签名恶意软件、声誉劫持、声誉植入和声誉篡改等。智能应用程序控制和SmartScreen存在一些基本设计缺陷，可能导致没有初始访问安全警告，且用户交互最少。安全团队应该仔细审查下载内容，不能仅依赖操作系统原生的安全功能来保护这一领域。

关键观点总结

关键观点1: 智能应用程序控制和SmartScreen的功能及漏洞

智能应用程序控制使用Microsoft的应用程序智能服务进行安全预测，并使用Windows的代码完整性功能来识别和阻止不受信任的文件。SmartScreen是Windows 8中引入的类似功能，旨在防止潜在恶意内容。两者在处理LNK文件时存在一个设计缺陷，即LNK踩踏漏洞，可以帮助威胁者绕过安全控制。

关键观点2: LNK踩踏漏洞的利用方式

攻击者可以通过在目标可执行文件路径后附加一个点或空格，或创建包含相对路径的LNK文件来利用LNK踩踏漏洞。当用户点击此类文件时，Windows资源管理器会识别并启动可执行文件，但会删除用于触发安全检查的MotW标签。

关键观点3: Elastic Security Labs的发现和措施

Elastic Security Labs发现了这一漏洞，并与微软安全响应中心分享了发现。该实验室还描述了攻击者可能利用的其他弱点，并发布了用于检查文件智能应用控制信任级别的开源工具。安全团队应该仔细审查下载内容，不能仅依赖操作系统原生的安全功能来保护这一领域。

文章预览

智能应用程序控制是一种基于信誉的安全功能，它使用 Microsoft 的应用程序智能服务进行安全预测，并使用 Windows 的代码完整性功能来识别和阻止不受信任（未签名）或潜在危险的二进制文件和应用程序。 它取代了 Windows 11 中的 SmartScreen，后者是 Windows 8 中引入的一项类似功能，旨在防止潜在的恶意内容（未启用智能应用控制时，SmartScreen 将接管）。 当用户尝试打开标有 Web 标记 (MotW) 标签的文件时，这两个功能都会被激活。 Elastic Security Labs 发现，Windows 智能应用控制和 SmartScreen 中存在设计缺陷，处理 LNK 文件时存在一个漏洞（称为 LNK 踩踏），该漏洞使攻击者能够启动程序而不会触发安全警告，可以帮助威胁者绕过旨在阻止不受信任的应用程序的智能应用程序控制安全控制。该缺陷至少自 2018 年以来就一直受到利用。 LNK 破坏涉及创建具有非标准 ………………………………