Несколько лет назад компания Microsoft анонсировала новый инструмент — AppLocker, который, по задумке разработчиков, был призван повысить уровень безопасности при работе в Windows. Не так давно исследователь Кейси Смит (Casey Smith) обнаружил в данном функционале уязвимость, позволяющую обойти его. Смит нашел способ, при котором в системе можно запустить любое приложение в обход AppLocker и без прав администратора.
Что такое AppLocker
AppLocker от Microsoft работает исходя из черных и белых списков приложений, которые могут быть запущены в системе. Поставляться он начал как компонент операционных систем Win 7 и WinServer 2008 R2. С его помощью системные администраторы получили возможность создавать правила для запуска исполняемых файлов
.exe, .com, а так же файлов с расширениями .msi, .msp, .bat, .scr, .js, .dll и другие.Чем отличается AppLocker от SRP (Software Restriction Policies)? По большому случаю, не многим, а по мнению некоторых специалистов в области безопасности — в основном, уровнем маркетинга. С более подробной информацией о том, как в общих чертах работает AppLocker можно почитать на sysadmins.lv.
Суть
Смит обнаружил, что через обращение к
Regsvr32 можно запустить любой файл в обход политик AppLocker, причем для этого не требуются даже права администратора, которые, как известно, рядовым пользователям всегда «режутся».Скрипты для обхода AppLocker через
Regsvr32 размещены автором на GitHub, ознакомиться с ними можно здесь.По информации engadget, компания Microsoft пока никаких официальных комментариев по этому вопросу не предоставила, поэтому неизвестно, будет ли «лататься» патчем данная уязвимость или нет.
С другой стороны проблему обхода AppLocker можно решить весьма простым способом: заблокировать Regsvr32 в брандмауэре системы, исключив, таким образом, внешнее обращение к нему по Сети. Еще одним решением называется включение правил для DLL, которые по умолчанию отключены из-за просадок производительности.
Также существует еще несколько способов обхода AppLocker, упомянутых в комментариях пользователем navion: раз и два.
Комментарии (10)
navion
25.04.2016 12:55+4Это не эксплоит, а очередной способ обойти AppLocker/SRP. Вот ещё парочка:
http://hype-free.blogspot.ru/2009/07/bypassing-srp-from-powershell.html
https://blog.didierstevens.com/2011/01/24/circumventing-srp-and-applocker-by-design/
AllanStark
25.04.2016 14:28Напомните пожалуйста, служба удаленного доступа к реестру вроде как начиная с 7-ки по умолчанию даже выключена, не?
PavelPV
Строго говоря — это не эксплоит, а использование недокументированной функции: принятие на выполнение ссылку на скрипт.
dartraiden
Принятие ссылки на скрип — это бонус. Можно даже без всяких ссылок локально создать .sct-файл, попытаться сделать ему Unregister и исполнить «начинку».
whiplash
Строго говоря: это ВОТ ТАКАЯ ДЫРА в безопасности.
И твёрдая двойка архитекторам этой самой безопасности в Microsoft.
whiplash
Потому что это раздражает уже — каждую неделю появляется новая возможность обмануть встроенные средства безопасности.
PowerWare через cmd -> PS, теперь вот это. Капец.
navion
Для большинства из них есть способы борьбы, как и в описанном случае.