OMITIR LA PROTECCIÓN DE APPLOCKER WINDOWS

Un atacante puede crear y registrar los elementos del panel de control personalizado y utilizar estos archivos para evitar la función de seguridad de Windows AppLocker

AppLocker es un servicio de seguridad introducida con Windows 7 y Windows Server 2008 R2 que permite a los administradores del sistema restringir el acceso a las aplicaciones de Windows basadas en un sistema basado en reglas.

Además de bloquear el acceso a juegos y aplicaciones no relacionadas con el trabajo, los administradores de sistemas también utilizan AppLocker para establecer normas para evitar que se instala sobre las cuentas de usuarios privilegiados bajo el malware de aplicaciones con el acceso que pueden ser utilizadas indebidamente para llevar a cabo ataques, como cmd.exe , powershell.exe, rundll32.exe, y otros.

AppLocker no es inexpugnable, y hay varias técnicas de derivación disponible en línea. El último de ellos fue revelada el 19 de mayo por Francesco Mifsud, investigador de seguridad de la información de contexto.

El método de Mifsud se basa en archivos CPL, que modifican las DLL que se cargan los elementos del panel de control. Por ejemplo, carga la pantalla de gestión de conexiones de red.

Microsoft permite a los instaladores de software crear elementos CPL que aparecerán en tu panel de control. Por ejemplo, la instalación de un controlador de vídeo añade iconos en su panel de control para controlar la configuración que de controlador de vídeo. Ese icono es un archivo CPL, y cada vez que se carga, el equipo funciona básicamente "control.exe name.cpl".

El sistema operativo Windows mantiene una lista de todos los artículos CPL dentro de la clave del Registro siguiente: HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs

Mifsud dice que un atacante puede modificar el valor de esta clave de registro y añadir su propia CPL que alterado previamente para lanzar cmd.exe y ejecutar comandos maliciosos.

A pesar de AppLocker bloqueando el acceso directo a cmd.exe, esta técnica inicia el archivo cmd.exe, la ejecución de comandos delincuentes u otros scripts. Del mismo modo, PowerShell u otras utilidades de Windows de amplio alcance pueden ser lanzados a través de este método.

Esta técnica de bypass es posible porque tanto "reg" y "regedit" son binarios firmados por Microsoft, que se encuentra en una carpeta de confianza y permitidos por AppLocker por defecto a menos bloqueada específicamente por los administradores. Del mismo modo para el Panel de control (control exe), que también es otro binario de Windows permitido por las reglas de AppLocker por defecto.

Mientras que el bloqueo del acceso a los servicios públicos como reg, regedit, y el panel de control es una alternativa, Mifsud recomienda otro método.

"Este ataque puede ser mitigado, a costa de rendimiento, permitiendo a la 'regla de recopilación de DLL' en la pestaña de AppLocker 'avanzada'," segun Mifsud.


Fecha actualización el 2017-5-24. Fecha publicación el . Categoría: Windows. Autor: Mapa del sitio Fuente: bleepingcomputer
AppLocker Windows