Експлоїт в Windows AppLocker

image

Кілька років тому компанія Microsoft анонсувала новий інструмент — AppLocker, який, за задумом розробників, був покликаний підвищити рівень безпеки при роботі в Windows. Не так давно дослідник Кейсі Сміт (Casey Smith) виявив в даному функціоналі уразливість, що дозволяє обійти його. Сміт знайшов спосіб, при якому в системі можна запустити будь-який додаток в обхід AppLocker і без прав адміністратора.

Що таке AppLocker

AppLocker від Microsoft працює виходячи з чорних і білих списків додатків, які можуть бути запущені в системі. Поставлятися він почав як компонент операційних систем Win 7 і WinServer 2008 R2. З його допомогою системні адміністратори отримали можливість створювати правила для запуску виконуваних файлів
.exe
,
.com
, а так само файлів з розширеннями
.msi
,
.msp
,
.bat
,
.scr
,
.js
,
.dll
та інші.

Чим відрізняється AppLocker від SRP (Software Restriction Policies)? За великим нагоди, не багатьом, а на думку деяких фахівців в галузі безпеки, в основному, рівнем маркетингу. З більш докладною інформацією про те, як в загальних рисах працює AppLocker можна почитати на sysadmins.lv.

Суть

Сміт виявив, що через звернення
Regsvr32
можна запустити будь-який файл в обхід політик AppLocker, причому для цього не потрібні навіть права адміністратора, які, як відомо, рядовим користувачам завжди «ріжуться».

Скрипти для обходу AppLocker через
Regsvr32
розміщені автором на GitHub, ознайомитися з ними можна тут.

За інформацією engadget, компанія Microsoft поки ніяких офіційних коментарів з цього питання не надала, тому невідомо, чи буде «лататися» патчем дана уразливість чи ні.

З іншого боку проблему обходу AppLocker можна вирішити досить простим способом: заблокувати Regsvr32 в брандмауері системи, виключивши, таким чином, зовнішнє звернення до нього по Мережі. Ще одним рішенням називається включення правил для DLL, які за умовчанням відключено за осідань продуктивності.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.