Windows ma długą historię podatności, które można było wykorzystać z użyciem specjalnie przygotowanego pliku. Szczególnie popularne były Worda z niespodzianką, ale to cyberprzestępcy rzadko kiedy się ograniczają.
Szkodliwe makra w plikach z pakietu Office to zmora. W ten sposób rozprowadzane były prominentne zagrożenia, na przykład Emotet. System Windows 11 dorobił się zabezpieczenia przed złośliwymi skryptami w dokumentach, co zmusiło cyberprzestępców do przerzucenia się na nowy wektor ataku.
Zobacz: Windows 11 chce kontrolować i blokować to, co instalujesz na PC
Zobacz: Nowa wersja Windowsa 11 już gotowa. Wybrani mogą testować
Malware można oczywiście „dokleić” do wielu innych typów plików. By ochronić użytkowników, Microsoft zaprojektował narzędzie Smart App Control, współpracujące z Windows Defenderem. Blokuje ono proces, otwierający potencjalnie szkodliwy plik. Zakres działania Smart App Control został rozszerzony na nowe typy plików, wykorzystywane w kampaniach phishingowych i w rozprowadzaniu szkodliwych programów.
Windows 11 with smart app control blocks iso and lnk files that have mark of the web just like Macros. https://t.co/mfFCQMv6uf
— David Weston (DWIZZZLE) (@dwizzzleMSFT) August 2, 2022
David Weston z Microsoftu poinformował, że SAC będzie blokować nie tylko makra, ale także otwieranie plików ISO (np. obrazów płyt) i LNK (skrótów). Za mur trafią pliki pobrane z internetu. Spokojnie, własne skróty i obrazy jeszcze możesz otwierać.
Yeah, IMG is also protected. As are VHD and VHDX files. pic.twitter.com/upbkkArFeZ
— Will Dormann (@wdormann) August 2, 2022
Dalsze badanie nowego zakresu działania SAC wykazało, że blokowane są także inne pliki obrazów: IMG, VHD i VHDX, używane do przechowywania kopii dysków i przez maszyny wirtualne. Bleeping Computer znalazł jeszcze więcej rozszerzeń, które trafiły na czarną listę. Oto całość (wytłuściłam potwierdzone przez Microsoft):
Powyższa lista wymienia rozszerzenia charakterystyczne dla archiwów i skryptów. Znamienne jest, że nie ma tu formatu RAR, który również jest chętnie wykorzystywany w cyberatakach i jeszcze kilku innych. Możliwe, że będą się pojawiać z biegiem czasu – w końcu to funkcja testowa, dostępna la Insiderów w systemie Windows 11 22H2. Niestety nie ma jeszcze porządnej dokumentacji, która rozwiałaby liczne wątpliwości. Nie ma też pełnej listy typów plików, uznawanych za zagrożenie.
Przy próbie otwarcia potencjalnie szkodliwego pliku zobaczysz okno dialogowe z ostrzeżeniem i propozycją pobrania bezpiecznej aplikacji z zaufanego źródła – Micosoft Store. Co ciekawe, nowa funkcja zostanie uruchomiona tylko na „czystej” instalacji Windowsa – w końcu na używanej mogą już być zainstalowane szkodliwe programy. Według aktualnych informacji ochronę można będzie wyłączyć, ale ponowne jej włączenie będzie wymagało wyczyszczenia systemu. Brakuje jeszcze sporo informacji na temat tego mechanizmu ochrony.
Źródło zdjęć: własne
Źródło tekstu: David Weston, BleepingComputer
