免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1055 | 回复: 0

Windows现漏洞 可绕过AppLocker白名单实施攻击 [复制链接]

论坛徽章:
146
2015年亚洲杯之日本
日期:2015-04-28 13:32:012015年亚洲杯之朝鲜
日期:2015-05-06 10:16:442015年亚洲杯之日本
日期:2015-05-06 10:21:342015年亚洲杯纪念徽章
日期:2015-05-13 17:16:442015亚冠之北京国安
日期:2015-05-13 17:18:292015亚冠之鹿岛鹿角
日期:2015-05-13 17:19:062015亚冠之德黑兰石油
日期:2015-05-27 16:47:402015亚冠之塔什干棉农
日期:2015-05-28 15:24:122015亚冠之卡尔希纳萨夫
日期:2015-06-01 13:52:392015亚冠之柏斯波利斯
日期:2015-06-04 17:37:292015亚冠之阿尔纳斯尔
日期:2015-06-16 11:31:202015亚冠之塔什干火车头
日期:2015-06-23 10:12:33
发表于 2016-06-14 10:11 |显示全部楼层
安全研究人员发现,通过使用Windows命令行使用程序(可追溯到Windows XP),基于Windows AppLocker的应用白名单保护可以被绕过。当结合托管在远程主机上的脚本时,这个漏洞可允许攻击者运行不在Windows AppLocker白名单中的软件。

根据微软表示,这个使用程序Regsvr32主要用于“注册和注销OLE(对象链接和嵌入)空间,例如(动态链接库)以及Windows注册表中的ActiveX控制。”但研究人员Casey Smith报道称,该命令可指向一个URL,而不是本地脚本;在该URL托管的脚本将会执行,绕过Windows AppLocker白名单限制。

“令人惊奇的是,Regsvr32已经是代理服务器感知,使用传输层安全,遵循重定向等,”Smith写道,并指出该使用程序还是“一个签名的默认MS二进制”,这意味着利用该漏洞可简化任何攻击。

RSA公司营销总监Robert Sadowski表示:“这项技术在熟练的攻击者手里可能很危险。”

“攻击者将需要访问受害者的机器,但不需要具有管理员权限,”Sadowski表示,“他们能够运行被阻止的脚本,而这本应被AppLocker的脚本阻止功能所阻拦。”

Smith的概念证明脚本表明这种攻击具有破坏的潜力,Sadowski称这可用于网络钓鱼或路过式漏洞利用。他表示:“而且这种攻击难以检测;它直接通过内置Windows命令来执行,唯一的踪迹是IE浏览器中一个缓存文件,Windows注册表中没有任何踪迹。”

自动威胁管理供应商Vectra公司首席安全官Gunter Ollmann表示:“Windows AppLocker绕过攻击是传统代码和向后兼容功能被攻击者利用以攻击较新的安全措施的一个较为有趣的例子。”

Ollmann称:“对于任何经验丰富的系统管理员而言,类似这样的绕过攻击出现在任何基于主机的拦截技术中并不奇怪。这个被遗忘的MS-DOS命令行功能和注册表操纵一直是安全人员的噩梦。”

“如果你有安装Windows AppLocker来阻止入侵或恶意软件感染,这可能是非常危险的漏洞,如果没有得到修复,这会带来很大的风险,”托管安全服务提供商Rook Security公司安全工程师兼取证分析师Daniel Ford表示,“对应用采用白名单技术并阻止其他未经授权应用是很多企业采用的保护措施。如果你安装了Windows AppLocker来抵御恶意软件渗出数据,那么这个漏洞可被用来绕过这种保护。”

Ford建议不要依靠Windows AppLocker,“请确保部署多层安全措施,例如更新的防病毒、IDS/IPS(入侵检测系统/入侵防御系统)、防火墙和其他安全工具。当这个漏洞的补丁推出时,最好马上安装它。”

现在保护环境的最简单方法是在防火墙级别阻止Regsvr32,拒绝它访问互联网。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP