- PVSM.RU - https://www.pvsm.ru -

Очередной способ обхода Windows AppLocker

image

Несколько лет назад компания Microsoft анонсировала новый инструмент — AppLocker, который, по задумке разработчиков, был призван повысить уровень безопасности при работе в Windows. Не так давно исследователь Кейси Смит (Casey Smith) обнаружил в данном функционале уязвимость, позволяющую обойти его. Смит нашел способ, при котором в системе можно запустить любое приложение в обход AppLocker и без прав администратора.

Что такое AppLocker

AppLocker от Microsoft работает исходя из черных и белых списков приложений, которые могут быть запущены в системе. Поставляться он начал как компонент операционных систем Win 7 и WinServer 2008 R2. С его помощью системные администраторы получили возможность создавать правила для запуска исполняемых файлов .exe, .com, а так же файлов с расширениями .msi, .msp, .bat, .scr, .js, .dll и другие.

Чем отличается AppLocker от SRP (Software Restriction Policies)? По большому случаю, не многим, а по мнению некоторых специалистов в области безопасности — в основном, уровнем маркетинга. С более подробной информацией о том, как в общих чертах работает AppLocker можно почитать на sysadmins.lv [1].

Суть

Смит обнаружил, что через обращение к Regsvr32 можно запустить любой файл в обход политик AppLocker, причем для этого не требуются даже права администратора, которые, как известно, рядовым пользователям всегда «режутся».

Скрипты для обхода AppLocker через Regsvr32 размещены автором на GitHub, ознакомиться с ними можно здесь [2].

По информации engadget [3], компания Microsoft пока никаких официальных комментариев по этому вопросу не предоставила, поэтому неизвестно, будет ли «лататься» патчем данная уязвимость или нет.

С другой стороны проблему обхода AppLocker можно решить весьма простым способом: заблокировать Regsvr32 в брандмауэре системы, исключив, таким образом, внешнее обращение к нему по Сети. Еще одним решением называется включение правил для DLL [4], которые по умолчанию отключены из-за просадок производительности.

Также существует еще несколько способов обхода AppLocker, упомянутых в комментариях [5] пользователем navion [6]: раз [7] и два [8].

Автор: Inoventica Services

Источник [9]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/windows/119043

Ссылки в тексте:

[1] почитать на sysadmins.lv: https://www.sysadmins.lv/blog-en/how-applocker-rules-are-rpocessed.aspx

[2] здесь: https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302

[3] engadget: http://www.engadget.com/2016/04/25/windows-applocker-exploit/

[4] правил для DLL: https://technet.microsoft.com/en-us/library/ee460947.aspx

[5] упомянутых в комментариях: https://habrahabr.ru/company/inoventica/blog/282373/#comment_8868321

[6] navion: https://habrahabr.ru/users/navion/

[7] раз: http://hype-free.blogspot.ru/2009/07/bypassing-srp-from-powershell.html

[8] два: https://blog.didierstevens.com/2011/01/24/circumventing-srp-and-applocker-by-design/

[9] Источник: https://habrahabr.ru/post/282373/