SmartScreen es una herramienta de Windows que ayuda en la protección para aquellos usuarios que visitan sitios que han sido denunciados como sitios de phishing o sitios que contienen malware, además de una protección contra los archivos descargados que se consideran potencialmente malintencionados.
Img 1
Alerta de SmartScreen (imagen obtenida de howtogeek.com)
Esta herramienta determina que un sitio es potencialmente malintencionado mediante el análisis de las páginas web que el usuario visita con el fin de buscar indicios de comportamientos sospechoso, si los encuentra esta herramienta muestra una advertencia de precaución al usuario.
Además, SmartScreen determina si una aplicación que ha sido descargada o un instalador de una aplicación, es potencialmente malicioso mediante la comprobación de una lista de sitios de software malintencionados que han sido denunciados, y de programas que se conocen que no son seguros. Si esta herramienta encuentra algún tipo de coincidencia mostrara una advertencia para indicarle al usuario que la aplicación descargada o que desea instalar es malintencionada.
Se ha descubierto que muestra la alerta al usuario solamente cuando se desea instalar un archivo malintencionado de forma gráfica. El bypass es muy sencillo y consiste en ejecutar el instalador o la aplicación desde el cmd o desde PowerShell, con esto se consigue saltar la comprobación de SmartScreen sin mostrar ningún tipo de alerta.
Ejemplo:
Para este ejemplo vamos a utilizar una imagen de Flu Project que tiene un formato.jpeg
Img 2 Imagen de Flu Project
Img 3 Archivo de la foto en formato .jpeg
Cambiamos el formato de la imagen de .jpeg a .exe, para que el sistema lo reconozca como un ejecutable.
Img 4 Archivo de la foto en formato .exe
Cuando tratamos de ejecutar el archivo test.exe, Windows Defender SmartScreen envía una alerta de que se está intentado iniciar una aplicación que no ha sido reconocida y ejecutar la misma podría suponer un riesgo.
Img 5 Alerta de SmartScreen
Para la prueba, abrimos la consola de comandos, y nos dirigimos hacia el directorio donde se encuentra el archivo test.exe y ejecutamos este.
Img 6 Ejecución del archivo test.exe desde cmd
Como se puede apreciar en la Img 7, el archivo ha sido ejecutado con éxito. Nos muestra un mensaje de error de aplicación no soportada, porque no es un programa, sino una imagen que la hemos convertido en un ejecutable para esta prueba. Con este bypass se podría ejecutar cualquier aplicación “bypasseando” SmartScreen.
Img 7 Ejecución exitosa de test.exe
Artículo cortesía de Christian Flores
Consultor de ciberseguridad
No hay comentarios:
Publicar un comentario