Очередной способ обхода Windows AppLocker

    image

    Несколько лет назад компания Microsoft анонсировала новый инструмент — AppLocker, который, по задумке разработчиков, был призван повысить уровень безопасности при работе в Windows. Не так давно исследователь Кейси Смит (Casey Smith) обнаружил в данном функционале уязвимость, позволяющую обойти его. Смит нашел способ, при котором в системе можно запустить любое приложение в обход AppLocker и без прав администратора.

    Что такое AppLocker


    AppLocker от Microsoft работает исходя из черных и белых списков приложений, которые могут быть запущены в системе. Поставляться он начал как компонент операционных систем Win 7 и WinServer 2008 R2. С его помощью системные администраторы получили возможность создавать правила для запуска исполняемых файлов .exe, .com, а так же файлов с расширениями .msi, .msp, .bat, .scr, .js, .dll и другие.

    Чем отличается AppLocker от SRP (Software Restriction Policies)? По большому случаю, не многим, а по мнению некоторых специалистов в области безопасности — в основном, уровнем маркетинга. С более подробной информацией о том, как в общих чертах работает AppLocker можно почитать на sysadmins.lv.

    Суть


    Смит обнаружил, что через обращение к Regsvr32 можно запустить любой файл в обход политик AppLocker, причем для этого не требуются даже права администратора, которые, как известно, рядовым пользователям всегда «режутся».

    Скрипты для обхода AppLocker через Regsvr32 размещены автором на GitHub, ознакомиться с ними можно здесь.

    По информации engadget, компания Microsoft пока никаких официальных комментариев по этому вопросу не предоставила, поэтому неизвестно, будет ли «лататься» патчем данная уязвимость или нет.

    С другой стороны проблему обхода AppLocker можно решить весьма простым способом: заблокировать Regsvr32 в брандмауэре системы, исключив, таким образом, внешнее обращение к нему по Сети. Еще одним решением называется включение правил для DLL, которые по умолчанию отключены из-за просадок производительности.

    Также существует еще несколько способов обхода AppLocker, упомянутых в комментариях пользователем navion: раз и два.
    Inoventica Services
    VPS / хостинг / домены / защита от DDoS
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 10

      0
      Строго говоря — это не эксплоит, а использование недокументированной функции: принятие на выполнение ссылку на скрипт.
        0
        Принятие ссылки на скрип — это бонус. Можно даже без всяких ссылок локально создать .sct-файл, попытаться сделать ему Unregister и исполнить «начинку».
          0
          Строго говоря: это ВОТ ТАКАЯ ДЫРА в безопасности.
          И твёрдая двойка архитекторам этой самой безопасности в Microsoft.
            0
            Потому что это раздражает уже — каждую неделю появляется новая возможность обмануть встроенные средства безопасности.
            PowerWare через cmd -> PS, теперь вот это. Капец.
              0
              Для большинства из них есть способы борьбы, как и в описанном случае.
          +4
          Это не эксплоит, а очередной способ обойти AppLocker/SRP. Вот ещё парочка:
          http://hype-free.blogspot.ru/2009/07/bypassing-srp-from-powershell.html
          https://blog.didierstevens.com/2011/01/24/circumventing-srp-and-applocker-by-design/
            +1
            Спасибо, добавлю в статью.
            0
            Напомните пожалуйста, служба удаленного доступа к реестру вроде как начиная с 7-ки по умолчанию даже выключена, не?
              0
              del пост, прошу прощения, не туда…
              –1
              решето…

              Only users with full accounts can post comments. Log in, please.