Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 26/4/2016
En sikkerhedsforsker har fundet et trick, der gør det muligt at omgå hvidlistefunktionen AppLocker i Windows. Dermed kan angribere afvikle programmer, der ikke er hvidlistet.Tricket udnytter programmet Regsvr32, der er en del af Windows. Det er muligt at få Regsvr32 til at køre et program også selvom programmet ikke er på den liste over programmer, AppLocker tillader at køre. Programmet kan ligge på ekstern server.
For at udnytte sårbarheden skal angriberen have adgang til at køre Regsvr32 på offerets computer.
AppLocker blev indført med Windows 7. Det giver administratorer mulighed for at kontrollere, hvilke programmer en bruger har lov til at køre.
Sikkerhedsforskeren har oplyst Microsoft om tricket, men har ikke hørt fra dem.
Anbefaling
Brugere af AppLocker bør undersøge, om sårbarheden udgør en trussel for dem.
Links
- Bypass Application Whitelisting Script Protections - Regsvr32.exe & COM Scriptlets (.sct files)
- Core Windows Utility Can Be Used to Bypass AppLocker, artikel fra Kaspersky Threatpost
- Windows AppLocker Bypassed to Execute Remote Scripts, artikel fra SecurityWeek
- Bypass the Windows AppLocker bouncer with a tweet-size command, artikel fra The Register